Nachdem Microsoft seit einiger Zeit Makros in Excel- und Word-Dokumenten standardmässig deaktiviert hat, steigen Kriminelle jetzt auf OneNote-Dokumente um.

So haben wir bei unseren Barracuda Email Protection Kunden Im Dezember 2022 sechs Kampagnen identifiziert, die OneNote zur Verbreitung von AsyncRAT-Malware verwendeten. Einen Monat später mehr als 50 Kampagnen mit Redline Stealer, AgentTesla, Qbot und DOUBLEBACK gesehen.

Der große Vorteil für die Kriminellen.
OneNote ist in allen Microsoft-365- und -Office-Versionen enthalten. Die Opfer brauchen das digitale Notizbuch nicht einmal selbst nutzen, trotzdem öffnen sich per E-Mail verschickte OneNote-Dateien nach einem Doppelklick darauf automatisch im Office-Programm. Zudem brauchen die Angreifer in OneNote keine Makros mehr, für die ihre Opfer eine Sicherheitsmeldung bestätigen müssten. Stattdessen bauen sie Buttons in die verschickten Notizbücher ein und verleiten mit den Bekannten Maschen zum Klick darauf. Klickt man auf den Button, startet wie bei den Office-Makros ein Skript, das eine Malware herunterlädt und installiert.

Das Problem.
Wir haben mehrere .one Dateien zu VirusTotal hochgeladen, aber es wurde nichts erkannt. Signaturbasierte Erkennungsmethoden scheinen nicht zu greifen, verhaltensbasierte Sandboxverfahren dagegen schon.

Meine Empfehlung.
Wenn eine Mail eine .one Datei im Anhang hat diese zu Blocken, denn wann kommt es im Geschäftsalltag vor OneNote Dateien zu versenden.
Andernfalls die Email zumindest zur Überprüfung in Quarantäne zu verschieben.