Det populære program Onenote, som har flere millioner brugere verden over, er en digital notesbog skabt af Microsoft, som indgår i produktsuiten Microsoft 365. I december observerede cybersikkerhedsforskere Nyhedstips fra Proofpoint seks forsøg på at levere skadelig software via Onenote. I januar steg antallet til 50 OneNote-angreb.

De fleste af de meddelelser, som er blevet spredt indeholder Onenote-filer med navne, som har elementer af “faktura” eller “frakt” i sig, men også andre specifikke brancher inden for produktion og industri er blevet udsat for angreb. Det er i dette tilfælde TP Aerospace er blevet udsat, de cyberkriminelle har spoofed virksomhedens varemærke – det vil sige at de har anvendt deres navn og logo – og har udgivet sig for at være virksomheden for at lokke modtageren til at åbne de skadelige filer. Taktikken med at de cyberkriminelle stjæler et varemærkes identitet og troværdighed for at snyde folk bruges ofte.

– Cyberkriminelle aktører har i længere tid eksperimenteret med nye teknikker og procedurer til at levere skadelig software via e-mail. Brugen af lige netop Onenote-dokumenter til at levere skadeligt indhold er en metode, som er designet til at snige sig uden om modtagerens antivirusprogram. På baggrund af den stigende brug af Onenote i angreb forventer vi, at vi vil se flere aktører benytte lignende metoder fremover, siger en sikkerhedsforsker hos Proofpoint.

Størstedelen af de undersøgte skadelige vedhæftninger indeholder software såsom AsyncRAT og QuasarRAT, dvs. virus, som er udformet til at fjernovervåge og styre andre computere. Ved angrebene i slutningen i januar 2023 blev der også observeret nye virusprogrammer, blandt andet den skadelige software Doubleback. Den fungerer som en bagindgang til computerens hukommelse, hvilket muliggør overvågning af netværket og datatyveri, og den gør desuden computeren sårbar over for yderligere indtrængen.