Seit letztem Jahr blockiert Microsoft standardmäßig Makros in seinen Office-Anwendungen was es für Cyberkriminelle schwieriger macht, Schadsoftware auf fremde Systeme zu schleusen. Doch diese suchen immer wieder nach neuen Transportmöglichkeiten und haben nun ein neues Mittel gefunden: OneNote-Dateien.
Die beliebte Notizanwendung erlaubt die direkte Ausführung bestimmter Dateitypen wie CHM, HTA, JS, WSF und VBS was Cyberkriminelle ausnutzen um Malware auf die Rechner ihrer Opfer zu bringen. Dabei werden OneNote-Dateien als E-Mail-Anhang verschickt um per Phishing-Angriff anvisierte Zielpersonen zu erreichen.
Im Januar 2023 haben Sicherheitsforscher von Proofpoint weiterhin als 50 auf OneNote-Anhängen basierende Malware-Kampagnen entdeckt, bei denen verschiedene Arten und Varianten von Schadsoftware verteilt wurden. Dazu gehören AsyncRAT Quasar RAT RedLine, XWorm NetWire RAT DOUBLEBACK Agent Tesla und Qbot.
Einige der analysierten OneNote-Dateien enthielten eine eingebettete HTA-Datei die ein PowerShell-Skript aufrief und eine bösartige Binärdatei von einem Server lud um das System des Opfers zu infiltrieren. In anderen Fällen versteckten die Angreifer ein VBScript im OneNote-Dokument, das ein PowerShell-Skript zur Ausführung der Malware DOUBLEBACK von einem Server abrief, hinter einer Schaltfläche mit der Aufschrift "Double Click To View File".
OneNote ist also ein neues Einfallstor für Malware, das Cyberkriminelle nutzen um ihre Schadsoftware auf fremde Systeme zu bringen. Ob das Blockieren von Makros seitens Microsoft eine effektive Maßnahme war ist angesichts dieser Entwicklung fraglich. Es bleibt abzuwarten; ebenso wie der Konzern die Angriffsfläche in Zukunft weiter verringern wird.
Kommentare
:
Es ist besorgniserregend zu sehen, dass Cyberkriminelle immer neue Wege finden um Malware auf fremde Systeme zu bringen. Die Nutzung von OneNote-Dateien als E-Mail-Anhang zeigt dass sie sich anpassen und lernen ebenso wie sie ihre Opfer am besten erreichen können. Essenziell bleibt dass Anwender sich bewusst machen, dass jede Datei die sie öffnen, potenziell schädlich sein kann und dass sie immer vorsichtig sein sollten, wenn sie Anhänge öffnen oder auf unbekannte Links klicken. Es bleibt zu hoffen, dass Microsoft schnell und effektiv auf diese neue Bedrohung reagiert und seine Sicherheitsmaßnahmen verbessert.