Word hat ausgedient: Vorsicht - Malware kommt per OneNote-Anhang

Die Warnungen vor manipulierten Word- und Excel-Anhängen in E-Mails, die Schadcode verbreiten, muss jetzt um ein weiteres Format ergänzt werden: Cyberkriminelle nutzen aktuell vermehrt OneNote, um Opfer in die Falle zu locken. Das geht aus einer neuen Analyse hervor. Wie das Online-Magazin Bleeping Computer berichtet, haben sich Cyberkriminelle seit Dezember daran gemacht, ihre Spam-Kampagnen umzustellen.

Hacker nutzen jetzt Microsoft OneNote-Anhänge zur Verbreitung von Malware. Genutzt werden OneNote-Anhänge in Phishing-E-Mails, die Opfer mit Malware für den Fernzugriff infizieren, die zur Installation weiterer Malware, zum Diebstahl von Passwörtern oder von Kryptowährungs-Wallets verwendet werden kann. Infografik Cyberkriminalität: E-Mails bleiben größtes Sicherheitsrisiko Da Microsoft im vergangenen Jahr gute Arbeit für die Sicherheit geleistet und Makros in Office-Dokumenten standardmäßig deaktiviert hat, sind Word- und Excel-Anhänge nicht mehr so effektiv für die Verbreitung von Trojanern und Co. Zudem ist es noch immer so, dass wenige Nutzer die Möglichkeit in Betracht ziehen, dass ihnen manipulierte OneNote-Anhänge gesendet werden.

Missbrauch von OneNote-Anhängen

Microsoft OneNote ist dabei eine beliebte Anwendung für digitale Notizbücher, die kostenlos und in Microsoft 365 enthalten ist. Da Microsoft OneNote standardmäßig in allen Microsoft Office/365-Installationen installiert ist, kann das Dateiformat auch dann geöffnet werden, wenn ein Windows-Nutzer die Anwendung selbst nicht verwendet. Das ist ein großer Vorteil für Cyberkriminelle.

Seit Mitte Dezember warnen unter anderem die Cybersecurity-Forscher von Trust Wave, dass Bedrohungsakteure bösartige Spam-E-Mails mit OneNote-Anhängen verbreiten. Es gibt mittlerweile eine lange Liste an bekannten E-Mails, inklusive angebliche DHL-Paketinformationen oder Rechnungen. Im Gegensatz zu Word und Excel unterstützt OneNote zwar keine Makros, mit denen Bedrohungsakteure früher Skripte zur Installation von Malware gestartet haben. Stattdessen werden in den Notizbüchern selbst Buttons eingefügt, die bei einem Doppelklick den bösartigen Anhang startet. Damit wird ein Skript gestartet, das Malware herunterlädt und installiert.

Sobald über das Skript eine Malware installiert wurde, können Bedrohungsakteure aus der Ferne auf das Gerät zugreifen, Dateien stehlen, Browser-Passwörter auslesen und vieles mehr.

Windows warnt beim Starten von OneNote-Anhängen davor, dass dies dem Computer und den Daten schaden kann und man nur Anhänge von bekannten Personen laden sollte. Doch diese Hinweise werden häufig ignoriert und schnell weggeklickt, daher haben die Cyberkriminellen mit ihrer neuen OneNote-Taktik derzeit viel Erfolg.

Siehe auch:
OneNote, Microsoft OneNote, Notiz-App, OneNote Online