Ein verzweifelter OneNote-Benutzer hat sich eine Malware eingefangen (Symbolbild)
Ein verzweifelter OneNote-Benutzer hat sich eine Malware eingefangen (Symbolbild)
Bildquelle: AndreyPopov, Lizenz

Makros sind out: OneNote ist Microsofts neues Malware-Taxi

Als OneNote-Anwender solltest Du Dich ganz besonders vor E-Mail-Anhängen in Acht nehmen, denn Du könntest Dir sonst eine Malware einfangen.

Immer häufiger setzen Cyberkriminelle auf OneNote-Dateien, um die Rechner ihrer Opfer mit Malware zu infizieren. Denn über Office-Dokumente mit Makros klappt das seit letztem Jahr nicht mehr so gut. Dabei machen die Angreifer sich die Tatsache zunutze, dass Microsofts beliebte Notizanwendung eine direkte Ausführung bestimmter Dateitypen erlaubt.

OneNote etabliert sich als Einfallstor für Malware

Nachdem Microsoft im vergangenen Jahr die Entscheidung traf, Makros in seinen Office-Anwendungen standardmäßig zu blockieren, halten Cyberkriminelle beständig nach neuen Transportmöglichkeiten Ausschau, um ihre Schadsoftware auf fremde Systeme zu schleusen.

Dabei experimentieren sie mit verschiedensten Dateitypen wie ISO, VHD, SVG, CHM, RAR, HTML und LNK. Neuerdings dienen jedoch immer häufiger OneNote-Dateien mit den Endungen „.one“ und „.onepkg“ als Malware-Taxi. Diese gelangen als E-Mail-Anhang auf die Rechner der per Phishing-Angriff anvisierten Zielpersonen.

Mehr als 50 Malware-Kampagnen zielten im Januar auf OneNote-Benutzer

Sicherheitsforscher von Proofpoint haben allein im Januar 2023 mehr als 50 auf OneNote-Anhängen basierende Malware-Kampagnen entdeckt. Dabei verteilten die Angreifer verschiedenste Arten und Varianten von Schadsoftware. Darunter AsyncRAT, Quasar RAT, RedLine, XWorm, NetWire RAT, DOUBLEBACK, Agent Tesla und Qbot.

Wie The Hacker News berichtet, enthielten einige der analysierten OneNote-Dateien eine eingebettete HTA-Datei, die ein PowerShell-Skript aufrief. Dieses lud schließlich eine bösartige Binärdatei von einem Server, um das System des Opfers zu infiltrieren.

In anderen Fällen versteckten die Angreifer ein VBScript in dem OneNote-Dokument, das wiederum ein PowerShell-Skript zur Ausführung der Malware DOUBLEBACK von einem Server abrief. Dabei war das VBScript hinter einer Schaltfläche mit der Aufschrift “Double Click To View File” versteckt.

Zwar löst der Doppelklick zunächst eine Sicherheitswarnung aus, doch so manch ein Anwender ist ja bekanntlich geübt darin, derartige Meldungen zu ignorieren.

Microsofts Notizanwendung erlaubt Ausführung von Dateien

OneNote ist insbesondere deshalb so interessant für die Verbreitung von Malware, weil sich einige ausgewählte Dateitypen direkt aus der Anwendung heraus ausführen lassen. „Zu diesen Dateitypen gehören CHM, HTA, JS, WSF und VBS„, so der Sicherheitsforscher Scott Nusbaum von TrustedSec.

Ob das Blockieren von Makros seitens Microsoft so effektiv war, wenn der Konzern mit OneNote zugleich ein neues Einfallstor für Malware bietet, ist äußerst fraglich. Wir dürfen gespannt bleiben, auf welchem Wege die Redmonder beim nächsten Mal versuchen, die Angriffsfläche zu verringern.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.