Cybersicherheit-Bedrohungshinweis: Bereitstellung von OneNote-Malware

Viele Cyberkriminelle verwenden jetzt OneNote-Dokumente, um Malware zu verbreiten. Allein im letzten Monat wurden über 50 OneNote-Kampagnen beobachtet, die verschiedene Malware-Payloads über E-Mail-Anhänge verbreiten.

Welcher Art ist die Bedrohung?

Nach jüngsten Berichten und von Barracuda SOC beobachteten Verhaltensweisen zufolge führen böswillige Akteure jetzt Malware-Kampagnen durch, die Microsoft OneNote-Dokumente verwenden. Im Dezember 2022 wurden nur sechs Kampagnen identifiziert, die OneNote zur Verbreitung von AsyncRAT-Malware verwendeten. Berichten zufolge wurden einen Monat später mehr als 50 Kampagnen mit Redline Stealer, AgentTesla und DOUBLEBACK gesehen. Vor allem der Cyberkriminelle TA577 verwendete OneNote, um Qbot gegen Ende Januar 2023 zu verbreiten.

Mit den OneNote-Dateien, die NoteBooks genannt werden, können die Benutzer Anhänge hinzufügen, über die Malware vom Cyberkriminellen heruntergeladen werden kann. Die OneNote-Dokumente enthalten eingebettete Dateien, die oft getarnt oder hinter einer Grafik versteckt sind, die wie eine Schaltfläche aussieht. Wenn der Benutzer auf die eingebettete Datei doppelklickt, wird eine Warnung angezeigt. Wenn er fortfährt, wird die Datei, bei der es sich um jede Art von ausführbarer Datei handeln kann, wie z. B. LNK-, HTA- oder WSF-Dateien, ausgeführt.

Barracuda XDR Endpoint Security mit SentinelOne beobachtete mehrere schädliche .one-Dateien, die in Kundenumgebungen gelöscht und isoliert wurden. Keiner der Hash-Werte der bösartigen Dateien wurde von VirusTotal erkannt, was die Bedeutung eines verhaltensbasierten Endpunktschutzes unterstreicht. Im Gegensatz zu herkömmlicher AV-Software, die sich stark auf signaturbasierte Erkennungsmethoden stützt, war SentinelOne in der Lage, verdächtiges Verhalten sofort zu erkennen und die Bedrohung zu beseitigen.

Warum sollte man aufmerksam sein?

Als Microsoft im Januar 2022 damit begann, Makros standardmäßig zu blockieren, mussten Bedrohungsakteure neue Wege zur Verbreitung von Malware finden. Im Juli 2022 war der Anteil der Office-Malware erheblich gesunken. Auf der Suche nach neuen Vektoren für die Verbreitung von Malware versuchten die Angreifer, andere Dateitypen wie LNK-, RAR-, IMG- und ISO-Dateien einzusetzen. Da die böswilligen Parteien weiter nach der besten Übertragungsmethode suchen, werden verschiedene Dateitypen auftauchen und verschwinden. Schädliche OneNote-Dateien werden wohl bleiben, zumindest vorerst. Zum Zeitpunkt der Veröffentlichung wurde keiner der von Barracuda XDR beobachteten OneNote-Hashwerte von Sicherheitsanbietern auf VirusTotal erkannt.

Wie hoch ist Risiko einer Exposition?

Auch wenn die Methode der Übermittlung neu sein mag, gibt es Phishing-E-Mails schon ewig. Diejenigen, die nicht in Schulungen zur Stärkung des Risikobewusstseins investieren, sind am meisten durch diese neue Taktik gefährdet. Ein Unternehmen kann die größten Sicherheitsanstrengungen unternehmen, indem es die neueste und beste Technologie im Bereich der Cybersicherheit einsetzt. Menschliches Versagen wird immer das größte Sicherheitsrisiko darstellen.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Maßnahmen, um diese Arten von Angriffen zu verhindern:

• Schulen Sie Ihre Mitarbeiter:
  • Klicken Sie nicht auf E-Mail-Links und laden Sie keine Anhänge von unbekannten oder nicht vertrauenswürdigen Absendern herunter.
  • Ignorieren Sie nicht die Warnmeldungen in Programmen wie Word, Excel oder OneNote. Warnungen sind absichtlich lästig!
  • Nutzen Sie Schulungskampagnen zur Sensibilisierung für Phishing, um die sicheren E-Mail-Gewohnheiten der Mitarbeiter zu testen.
• Aktivieren Sie wo immer möglich die Multi-Faktor-Authentifizierung (MFA). Bis zu 99 % der Datenschutzverletzungen können verhindert werden, wenn Mitarbeiter durch MFA geschützt sind.
• Praktizieren Sie grundlegende Cybersecurity-Hygiene. Dazu gehören eine proaktive Überwachung rund um die Uhr, eine tiefgreifende Cybersecurity-Strategie und ein Security Operations Center (SOC). Die Implementierung eines fortschrittlichen Endpunktschutzes wie Barracuda XDR Endpoint Security kann Malware-Dateien wie diese OneNote-Dokumente abfangen, bevor sie das System des Benutzers infizieren.
  • Das Barracuda SOC-Team hat eine neue Regel zur Überwachung dieser Bedrohung entwickelt und aktiviert. Unsere Kunden werden benachrichtigt, wenn diese Bedrohung in ihrer Umgebung entdeckt wird.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://www.crn.com/news/security/microsoft-onenote-evernote-phishing-attacks-are-threat-to-msps
• https://www.techradar.com/news/malicious-use-of-microsoft-onenote-documents-on-the-rise
• https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/