OneNote 文档已成为新的恶意软件感染载体

随着越来越多的人提高了安全意识并实施强大的安全措施，并且安全软件变得更加复杂，传播恶意软件会变得比以往更加困难。正因为如此，黑客一直在寻找新的技术来欺骗受害者。

微软 Office 文件曾经是恶意软件的流行载体，但最近变得不那么有效了，部分原因是默认情况下 Office 软件不再启用宏。2023 年 2 月，微软禁用了文档中的VBA 宏，因为它们经常被用作恶意软件分发方法。此举促使恶意软件作者寻找新的方法来分发其有效负载，从而导致其他感染媒介的使用增加，例如密码加密的 zip 文件和 ISO 文件。黑客的最新选择是使用微软 OneNote 文件。

OneNote 文档已成为一种新的感染媒介，其中包含在与文档交互时执行的恶意代码。Emotet 和 Qakbot 以及其他高端窃取器和加密器是使用 OneNote 附件的已知恶意软件威胁。目前已观察到使用 OneNote 进行恶意软件传递的电子邮件活动具有相似的特征。尽管消息主题和发送者各不相同，但几乎所有的活动都使用独特的消息传递恶意软件，并且通常不使用线程劫持。消息通常包含 OneNote 文件附件，主题包括发票、汇款、财产和季节性主题(如圣诞节奖金)等。2023年1月中旬，安全研究人员观察到演员使用 URL 投递 OneNote 附件，这些附件使用相同的 TTP 执行恶意软件。这包括2023年1月31日观察到的 TA577 活动。

研究人员目前正在开发新的工具和分析策略来检测和防止这些 OneNote 附件被用作感染工具。