Aanvallers maken steeds vaker gebruik van HTML- en OneNote-bestanden voor het uitvoeren van aanvallen, terwijl het gebruik van Word- en Excel-bestanden juist afneemt, zo stelt Googles online virusscandienst VirusTotal. Via VirusTotal is het mogelijk om bestanden door de engines van tientallen virusscanners te laten scannen. Op basis van geüploade bestanden heeft de virusscandienst een rapport genaamd "Emerging Formats and Delivery Techniques" gepubliceerd met informatie over trends en ontwikkelingen.

Daaruit blijkt dat aanvallers vooral gebruikmaken van HTML-bestanden, die weer JavaScript laden, voor het uitvoeren van phishingaanvallen. De bestanden worden als e-mailbijlage verspreid en hebben het voorzien op inloggegevens van slachtoffers. Daarnaast is er volgens VirusTotal ook een toename van OneNote-bestanden. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365.

OneNote-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts of embedded bestanden die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd.

Macro's in Office-bestanden waren jarenlang een populaire aanvalsvector voor cybercriminelen, maar Microsoft is die in verschillende Office-versies op zo'n manier gaan blokkeren dat die niet meer eenvoudig zijn in te schakelen. Daardoor kijken cybercriminelen nu naar andere oplossingen. VirusTotal stelt dat OneNote voor aanvallers een "betrouwbaar alternatief" is voor de macro's in Office-producten.

ISO-bestanden

VirusTotal meldt ook een toename dit jaar van verdachte ISO-bestanden. "ISO-bestanden voor het verspreiden van malware is een flexibel alternatief voor zowel grootschalige als gerichte aanvallen", stelt de virusscandienst, die toevoegt dat sommige beveiligingsoplossingen moeite hebben met het scannen van ISO-bestanden. Dergelijke bestanden zijn images die allerlei soorten bestanden kunnen bevatten. De ontwikkelingen van het afgelopen jaar laten volgens VirusTotal zien dat aanvallers continu van bestandsformaten wisselen om malware te verspreiden.