Hacker nutzen jetzt schädliche OneNote-Dateien

Jahrelang konnten Cyberangreifer ihre Malware über Office-Dateien wie Word- oder Excel verteilen, indem sie . Dazu nutzten sie die Office-Makrofunktionen ausnutzten. Nachdem Microsoft jedoch im vergangenen Jahr die Makros in Office-Dokumenten endgültig deaktiviert hat, gingen . Hacker zu anderen Dateiformaten über, um ihre Schadsoftware zu verbreiten. So wurden zum Beispiel ISO-Images und Zip-Dateien verwendet. Doch sowohl 7-Zip als auch Windows haben diese Fehler kürzlich behoben.

Im Dezember 2022 fanden Security-Forscher dann heraus, dass Angreifer bösartige E-Mails mit OneNote-Anhängen in Umlauf gebracht haben. Bei Microsoft OneNote handelt es sich um eine Desktop-Anwendung für digitale Notizbücher, die standardmäßig in allen Office/365-Suiten installiert ist. Das Problem: Die Anwendung steht auch dann zum Öffnen des Dateiformats zur Verfügung, wenn der Windows-Benutzer sie nicht verwendet.

??
?? Malspam mail being delivered with attached onenote document
?? Onenote attachment contains a button that once clicked, it executes exported file located in: "C:\Users\user\AppData\Local\Temp\OneNote\16.0\Exported\{UUID}\NT\0" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) January 10, 2023

In diesem Zusammenhang berichtete das Technikmagazins Bleeping Computer kürzlich über Fälle, in denen Angreifer ihre OneNote-Dokumente als DHL-Versandbenachrichtigungen, Rechnungen, ACH-Überweisungsformulare, mechanische Zeichnungen und Versanddokumente tarnten. "Im Gegensatz zu Word und Excel unterstützt OneNote keine Makros. Deshalb haben die Angreifer zuvor Skripte gestartet, um ihre Malware zu installieren", heißt es im Bericht.

OneNote ermöglicht es, Anhänge zu einem Notizbuch hinzuzufügen. Diese werden durch einen Doppelklick gestartet. Angreifer missbrauchen diese Funktion, indem sie schädliche VBS-Dateien anhängen, die das Skript automatisch starten. Klickt das Opfer auf den Anhang, wird das Schadprogramm heruntergeladen.

In den Betrug-E-Mails, die von BleepingComputer entdeckt wurden, installierten die gefälschten OneNote-Dateien Remote-Access-Trojaner, um Informationen zu stehlen. Der Cybersicherheitsforscher James bestätigte dies dem Magazin gegenüber und teilte mit, dass die von ihm analysierten OneNote-Anhänge die Trojaner AsyncRAT und XWorm installierten.