Criminelen maken steeds vaker gebruik van Microsoft OneNote-bestanden om systemen met malware te infecteren, zo stellen meerdere antivirusbedrijven. Werden in december nog een handvol campagnes waargenomen waarbij het .one bestandstype werd ingezet, vorige maand was dat gestegen naar meer dan vijftig, aldus securitybedrijf Proofpoint. Volgens het bedrijf is het gebruik van .one-bestanden een reactie op het standaard blokkeren van macro's in Microsoft 365. Het versturen van documenten met malafide macro's was altijd een populaire methode van aanvallers.

Microsoft OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen.

Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Het gaat om remote access trojans en malware die inloggegevens steelt. "Het is belangrijk om op te merken dat een aanval alleen slaagt wanneer de ontvanger ermee aan de slag gaat, specifiek door het klikken op het embedded bestand en het negeren van de waarschuwing die OneNote laat zien", zegt onderzoeker Tommy Madjar van Proofpoint. Hij stelt dat organisaties hun personeel over deze aanvalsmethode moeten onderwijzen en aanmoedigen om verdachte e-mail en bijlages te rapporteren.