Ifølge en ny rapport fra cybersikkerhedsvirksomheden Proofpoint har man observeret en kraftig stigning i brugen af OneNote-dokumenter i december og januar i forbindelse med forsøg på indtrængen.
Flere af angrebene har været rettet mod specifikke brancher.
En af de virksomheder som er blevet udnyttet i dette angreb er TP Aerospace, hvis varemærke og logo er blevet anvendt for at lokke modtageren til at åbne mailen og klikke på de vedhæftede filer.
Det populære program OneNote, som har flere millioner brugere verden over, er en digital notesbog skabt af Microsoft, som indgår i produktsuiten Microsoft 365. I december observerede cybersikkerhedsforskere Nyhedstips fra Proofpoint seks forsøg på at levere skadelig software via OneNote. I januar steg antallet til 50 OneNote-angreb.
Billede: OneNote-dokument, der blev brugt som lokkemad af aktøren TA577.
De fleste af de meddelelser, som er blevet spredt indeholder One Note-filer med navne, som har elementer af “faktura” eller “frakt” i sig, men også andre specifikke brancher inden for produktion og industri er blevet udsat for angreb. Det er i dette tilfælde TP Aerospace er blevet udsat, de cyberkriminelle har spoofed virksomhedens varemærke – det vil sige at de har anvendt deres navn og logo – og har udgivet sig for at være virksomheden for at lokke modtageren til at åbne de skadelige filer. Taktikken med at de cyberkriminelle stjæler et varemærkes identitet og troværdighed for at snyde folk bruges ofte.
– Cyberkriminelle aktører har i længere tid eksperimenteret med nye teknikker og procedurer til at levere skadelig software via e-mail. Brugen af lige netop OneNote-dokumenter til at levere skadeligt indhold er en metode, som er designet til at snige sig uden om modtagerens antivirusprogram. På baggrund af den stigende brug af OneNote i angreb forventer vi, at vi vil se flere aktører benytte lignende metoder fremover, siger en sikkerhedsforsker hos Proofpoint.
Størstedelen af de undersøgte skadelige vedhæftninger indeholder software såsom AsyncRAT og QuasarRAT, dvs. virus, som er udformet til at fjernovervåge og styre andre computere. Ved angrebene i slutningen i januar 2023 blev der også observeret nye virusprogrammer, blandt andet den skadelige software DOUBLEBACK. Den fungerer som en bagindgang til computerens hukommelse, hvilket muliggør overvågning af netværket og datatyveri, og den gør desuden computeren sårbar over for yderligere indtrængen.
Proofpoint vurderer, at de initiale angreb sandsynligvis havde en høj effektivitetsgrad, hvis e-mailen ikke blev blokeret af modtagerens antivirusprogram. De mener også, at det er sandsynligt, at flere cyberkriminelle aktører fremover vil bruge OneNote-bilag som metode til at levere skadelig software.
– For at denne type angreb skal fungere, skal modtageren interagere med den vedhæftede fil ved at åbne den og ignorere den advarselsmeddelelse, som OneNote viser. Vi opfordrer derfor alle organisationer til at informere deres brugere om disse teknikker og opfordrer til, at de rapporterer mistænkte e-mails og vedhæftede filer, siger en sikkerhedsforsker hos Proofpoint.
Hele rapporten kan læses her: https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware
