Hackers gebruiken OneNote om malware te verspreiden

Abraham54

Administrator
Teamlid
Lid geworden
2 aug 2016
Berichten
31.457
Waarderingsscore
6.181
Punten
1.013
Leeftijd
69
OS
Windows 10 Professional
AV
AVG Internet Security + Malwarebyte Exploit
FW
AVG Internet Security Firewal
Dit artikel is overgenomen van
Noot: accentueringen door mij.


detail.png

Microsoft OneNote-bestanden gebruikt voor verspreiden van malware​


maandag 23 januari 2023, 11:55 door Redactie, 1 reacties

Aanvallers maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende
securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in
Microsoft Office-documenten gebruikt voor het verspreiden van malware.
Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel
lastiger wordt om macro's weer in te schakelen.


In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en
onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden.
Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt.

Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities.
Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365.

Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen
geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten.
Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren.

Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast.
Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd.

In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere
inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun
e-mailomgeving als het besturingssystemen te blokkeren.


Image


Noot: distributie vindt plaats via e-mail.
 

Abraham54

Administrator
Teamlid
Lid geworden
2 aug 2016
Berichten
31.457
Waarderingsscore
6.181
Punten
1.013
Leeftijd
69
OS
Windows 10 Professional
AV
AVG Internet Security + Malwarebyte Exploit
FW
AVG Internet Security Firewal
Ikzelf gebruik OneNote niet.
In Windows verkenner naar Microsoft Office gegaan en via Eigenschappen van OneNote
de map en inhoud daarvan, op Enkel Lezen gezet.
 
Bovenaan Onderaan