Enligt en ny rapport från cybersäkerhetsföretaget Proofpoint har en kraftig uppgång i användandet av OneNote-dokument observerats i intrångsförsök under december och januari. Flera av attackerna har riktats mot specifika branscher. Bland annat har det danska företaget TP Aerospace drabbats.
Det populära programmet OneNote med miljontals användare världen över är en digital anteckningsbok skapad av Microsoft, tillgänglig via produktsviten Microsoft 365. I december observerade cybersäkerhetsforskare från Proofpoint vid sex tillfällen försök att leverera skadlig programvara via OneNote. Under januari ökade det till 50 OneNote-attacker.
Merparten av de meddelanden som sprids innehåller OneNote-bilagor med teman som ”faktura” eller ”frakt”, men flera attacker har även riktats mot specifika branscher, bland annat inom tillverkning och industri. I det fall där det danska tillverkningsföretaget TP Aerospace drabbades utgav sig angriparna till exempel för att vara ett flygföretag och använde sig av bilagor relaterade till specifika maskindelar.
– Cyberkriminella aktörer har under en lång tid experimenterat med nya tekniker och procedurer för att leverera skadlig programvara via e-post. Användandet av just OneNote-dokument för att leverera skadligt innehåll är en metod som är designad för att kringgå upptäckt av mottagarens antivirusprogram. Baserat på den ökade användningen av OneNote i attacker kommer vi sannolikt att se fler aktörer använda liknande metoder framöver, säger cybersäkerhetsforskare på Proofpoint.
Majoriteten av de skadliga bilagor som undersökts innehåller programvara som AsyncRAT och QuasarRAT, virus utformade för att fjärrövervaka och styra andra datorer. Under attackerna i slutet av januari 2023 har även nya virusprogram observerats. Bland annat den skadliga programvaran DOUBLEBACK som fungerar som en bakdörr till datorns minne, vilket möjliggör nätverksspaning och datastöld, och även lämnar datorn sårbar för ytterligare intrång.
Proofpoint bedömer det som troligt att de initiala attackerna har en hög effektivitetsgrad om e-postmeddelandet inte blockerades av mottagarens antivirusprogram. De ser det också som sannolikt att fler cyberkriminella aktörer kommer att använda OneNote-bilagor som metod för att leverera skadlig programvara framöver.
– För att den här typen av attacker ska lyckas måste mottagare interagera med bilagan genom att öppna den bifogade filen och ignorera varningsmeddelandet som visas av OneNote. Därför vill vi passa på att uppmana organisationer att utbilda användare om dessa tekniker och uppmuntra dem att rapportera misstänkta e-postmeddelanden och bilagor, säger cybersäkerhetsforskare på Proofpoint.
Hela rapporten finns att läsa här:
