Um die mögliche Gefahr von Makros in Word und Excel zu minimieren, hat Microsoft seit Juli 2022 das Ausführen von Makros erschwert.

Nun haben Hacker einen neuen Weg gefunden um Schadprogramme auf den Computer ihrer Opfer zu bringen: Es werden OneNote-Attachments (.one) per Mail versendet.

.one Dateien können auf jedem Windows Computer, auf welchem Office standardmässig installiert ist, geöffnet werden – selbst wenn das OneNote vom Benutzer nicht verwendet wird.
Die von den Hacker versendeten OneNote Dateien beinhalten verschiedene Tricks um Schadsoftware nachzuladen und auszuführen: Hinter dem Doppelklick auf ein Bild oder Button verbirgt sich nicht das angekündigte Dokument, sondern die Initiierung zum Schadprogramm. Dies geschieht jedoch nicht ohne zusätzliche Warnung, welche jedoch erfahrungsgemäss schnell mit «OK» ignoriert wird.

Wir empfehlen, die Benutzer darauf zu sensibilisieren, generell keine Dokumente von unbekannten Nutzern zu öffnen. Und falls doch ein Dokument zu schnell geöffnet wird, die Sicherheitswarnung mit «Abbrechen» zu umgehen.

Quellen:

• https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trojanized-onenote-document-leads-to-formbook-malware/
• https://arcticwolf.com/resources/blog/significant-increase-malicious-files-delivered-via-onenote-attachments/