Enligt en ny rapport från cybersäkerhetsföretaget Proofpoint har en kraftig uppgång i användandet av OneNote-dokument observerats i intrångsförsök under december och januari.
Flera av attackerna har riktats mot specifika branscher.
Bland annat har det danska företaget TP Aerospace utnyttjats av cyberkriminella för att framstå som ett etablerat bolag och lura mottagare till att klicka på de skadliga filerna
Det populära programmet OneNote med miljontals användare världen över är en digital anteckningsbok skapad av Microsoft, tillgänglig via produktsviten Microsoft 365.I december observerade cybersäkerhetsforskare från Proofpoint vid sex tillfällen försök att leverera skadlig programvara via OneNote. Under januari ökade det till 50 OneNote-attacker.
Merparten av de meddelanden som sprids innehåller OneNote-bilagor med teman som ”faktura” eller ”frakt”, men flera attacker har även riktats mot specifika branscher, bland annat inom tillverkning och industri. Det är här som TP Aerospace blivit utsatta, cyberbrottslingarna har spoofat företagets varumärke – det vill säga använt företagets namn och logotyp – och utgett sig för att vara bolaget för att locka mottagare att öppna de skadliga bilagorna. Att cyberkriminella aktörer försöker utnyttja ett etablerat och betrott företags varumärke för att lura sig in är en vanligt förekommande taktik.
Bild: Cyberkriminella har spoofat danska TP Aerospace för att lura mottagare att ladda ned bilagor.
– Cyberkriminella aktörer har under en lång tid experimenterat med nya tekniker och procedurer för att leverera skadlig programvara via e-post. Användandet av just OneNote-dokument för att leverera skadligt innehåll är en metod som är designad för att kringgå upptäckt av mottagarens antivirusprogram. Baserat på den ökade användningen av OneNote i attacker kommer vi sannolikt att se fler aktörer använda liknande metoder framöver, säger cybersäkerhetsforskare på Proofpoint.
Majoriteten av de skadliga bilagor som undersökts innehåller programvara som AsyncRAT och QuasarRAT, virus utformade för att fjärrövervaka och styra andra datorer. Under attackerna i slutet av januari 2023 har även nya virusprogram observerats. Bland annat den skadliga programvaran DOUBLEBACK som fungerar som en bakdörr till datorns minne, vilket möjliggör nätverksspaning och datastöld, och även lämnar datorn sårbar för ytterligare intrång.
Proofpoint bedömer det som troligt att de initiala attackerna har en hög effektivitetsgrad om e-postmeddelandet inte blockerades av mottagarens antivirusprogram. De ser det också som sannolikt att fler cyberkriminella aktörer kommer att använda OneNote-bilagor som metod för att leverera skadlig programvara framöver.
– För att den här typen av attacker ska lyckas måste mottagare interagera med bilagan genom att öppna den bifogade filen och ignorera varningsmeddelandet som visas av OneNote. Därför vill vi passa på att uppmana organisationer att utbilda användare om dessa tekniker och uppmuntra dem att rapportera misstänkta e-postmeddelanden och bilagor, säger cybersäkerhetsforskare på Proofpoint.
