Aanvallers maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in Microsoft Office-documenten gebruikt voor het verspreiden van malware. Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel lastiger wordt om macro's weer in te schakelen.
In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt. Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365.
Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren.
Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast. Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd. In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun e-mailomgeving als het besturingssystemen te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.