OneNote utnyttjas i ny våg av cyberattacker – flera tillverkningsföretag drabbade
OneNote är en digital anteckningsbok skapad av Microsoft. Under december observerade cybersäkerhetsforskare från Proofpoint vid sex tillfällen försök till att leverera skadlig programvara via OneNote. Under januari ökade det till 50 OneNote-attacker.
Merparten av de meddelanden som sprids innehåller OneNote-bilagor med teman som ”faktura” eller ”frakt”, men flera attacker har även riktats mot specifika branscher, bland annat inom tillverkning och industri. Bland annat har danska TP Aerospace blivit utsatta där cyberbrottslingarna har spoofat företagets varumärke - det vill säga använt företagets namn och logotyp - och utgett sig för att vara bolaget för att locka mottagare att öppna de skadliga bilagorna. Att cyberkriminella aktörer försöker utnyttja ett etablerat och betrott företags varumärke för att lura sig in är en vanligt förekommande taktik.
– Cyberkriminella aktörer har under en lång tid experimenterat med nya tekniker och procedurer för att leverera skadlig programvara via e-post. Användandet av just OneNote-dokument för att leverera skadligt innehåll är en metod som är designad för att kringgå upptäckt av mottagarens antivirusprogram. Baserat på den ökade användningen av OneNote i attacker kommer vi sannolikt att se fler aktörer använda liknande metoder framöver, säger cybersäkerhetsforskare på Proofpoint.
Proofpoint bedömer det som troligt att de initiala attackerna har en hög effektivitetsgrad om e-postmeddelandet inte blockerades av mottagarens antivirusprogram. De ser det också som sannolikt att fler cyberkriminella aktörer kommer att använda OneNote-bilagor som metod för att leverera skadlig programvara framöver.
– För att den här typen av attacker ska lyckas måste mottagare interagera med bilagan genom att öppna den bifogade filen och ignorera varningsmeddelandet som visas av OneNote. Därför vill vi passa på att uppmana organisationer att utbilda användare om dessa tekniker och uppmuntra dem att rapportera misstänkta e-postmeddelanden och bilagor, säger cybersäkerhetsforskare på Proofpoint.