Warnung: Hacker installieren Malware über Microsoft OneNote-Anhänge

Hacker verwenden ein neues Dateiformat in Form von Microsoft OneNote-Anhängen, um Malware an Ziele zu verbreiten. Durch Doppelklicken auf die schädlichen Spam-Anhänge wird das Skript automatisch gestartet, was dazu führt, dass die Malware von einer Remote-Site heruntergeladen und installiert wird. (Vertrauenswave Piepender Computer)

OneNote bleibt einer der relevanten Teile von Microsoft 365. Der Softwareriese ist kontinuierlich dabei Einführung und Natürlich sind wir auch auf Facebook zu finden: <br> <a href="https://www.facebook.com/tijhof.de" target="_blank" rel="noopener"><img class="alignleft wp-image-15850 size-full" src="https://tijhof.nl/wp-content/uploads/2024/03/facebookGmBh.png" alt="" width="250" height="50"></a> neue Funktionen in der App, die es Hackern zu einem anständigen Weg machen, ihre Verbrechen zu begehen. Und in einer neuen Entdeckung sagten Sicherheitsexperten, dass Angreifer sich jetzt auf OneNote-Anhänge verlassen, um bösartige Software auf den Computern der Opfer zu installieren.

?
?? Malspam-Mail wird mit angehängtem OneNote-Dokument zugestellt
?? Der Onenote-Anhang enthält eine Schaltfläche, die nach dem Anklicken die exportierte Datei ausführt, die sich in: „C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT“ befindet [1/3] pic.twitter.com/s6S7m18Fqo

— Wahrnehmungspunkt-Angriffstrends (@AttackTrends) 10. Januar 2023

Die Warnung von Sicherheitsexperten startete bereits im Dezember letzten Jahres. Trustwave, ein Cybersicherheitsunternehmen, veröffentlichte letzten Monat einen Bericht über die Entdeckung der neuen Strategie.

„… Durch diese laufende Forschung haben wir Bedrohungsakteure aufgedeckt, die ein OneNote-Dokument verwenden, um Formbook-Malware zu verschieben, einen Trojaner, der Informationen stiehlt und seit Mitte 2016 in einem Untergrund-Hacking-Forum als Malware-as-a-Service verkauft wird“, teilt Trustwave in seinem Blog mit. „Ein Dateityp, der uns am 6. Dezember 2022 aufgefallen ist, war der oben erwähnte OneNote-Anhang mit der Erweiterung .one, der an eine Spam-E-Mail in unserem Telemetriesystem angehängt war.“

Ein separater Bericht von Piepender Computer teilte mit, dass sich die Anhänge als zuverlässige Dokumente für Unternehmen tarnen, darunter Rechnungen, mechanische Zeichnungen, DHL-Versandbenachrichtigungen, ACH-Überweisungsformulare und Versanddokumente. Die Dateien sollen jedoch bösartige VBS-Anhänge sein, die Skripte automatisch starten können, indem die Benutzer einfach darauf doppelklicken.

Um Benutzer zu täuschen, verwenden die Bedrohungsakteure einen Bildköder durch die Überlagerung der Leiste „Doppelklicken, um Datei anzuzeigen“ oder „Dokument anzeigen“ über den Anhängen. Durch Verschieben oder Klicken auf dieses Overlay werden die mehreren Anhänge angezeigt, und ein Doppelklick auf eine beliebige Stelle in der Leiste führt zu einem Doppelklick auf den Anhang, wodurch das Skript gestartet wird.

Positiv anzumerken ist, dass Microsoft immer eine Möglichkeit hat, Benutzer vor dieser Gefahr zu warnen. Daher zeigt die App eine Warnung an, die darauf hinweist, dass „das Öffnen von Anhängen Ihrem Computer und Ihren Daten schaden könnte“. Hier könnten Benutzer den größten Fehler machen, indem sie den Anhang durch einfaches Klicken auf die Schaltfläche „OK“ bestätigen, die von vielen häufig ignoriert wird.

Nach dem Anklicken lädt das VBS-Skript zwei Dateien von einem Remote-Server herunter und installiert sie. Laut den Screenshots, die von geteilt wurden Piepender Computer, die erste Datei soll Benutzer täuschen, indem sie ein legitim aussehendes OneNote-Dokument öffnet. Daneben gibt es jedoch eine bösartige Batch-Datei, die im Hintergrund ausgeführt wird und die Malware auf dem Gerät installiert. Dazu gehören Fernzugriffs-Trojaner (z. B. AsyncRAT, XWorm-Fernzugriffs- und Quasar-Fernzugriffs-Trojaner) mit Funktionen zum Stehlen von Informationen, von der Erstellung von Screenshots und dem Erwerb gespeicherter Browserpasswörter bis hin zum Aufzeichnen von Videos über die Webcams der Benutzer und dem Stehlen von Kryptowährungsgeldbörsen.

Leider besteht der ultimative Schutz, den Benutzer anwenden können, um sich vor den genannten Problemen zu schützen, darin, beim Öffnen von Dateien unbekannter Absender vorsichtig zu sein und die Standard-Sicherheitswarnung des Systems und der App zu befolgen. Trustwave hat derweil einen Vorschlag für Organisationen.

„Zusammenfassend lässt sich sagen, dass eine in ein OneNote-Dokument eingebettete WSF-Datei wahrscheinlich unter dem Radar fliegt“, sagt Trustwave. „Das bedeutet auch, dass OneNote jetzt in die Liste anderer Office-Dokumente aufgenommen werden kann, die auf bösartige Komponenten untersucht werden müssen. Wie bereits erwähnt, ist es nicht üblich, .one-Dateien an E-Mails anzuhängen. Als Abhilfemaßnahme sollten Unternehmen erwägen, eingehende E-Mail-Anhänge mit der Erweiterung .one zu blockieren oder zu kennzeichnen.“