My OneNote!! 
Das diese Malware-Heinis da jetzt erst drauf kommen…dafür braucht man ehrlich keinen Master von der Youtube-Uni 
Oder liegt es daran, dass OneNote dieses Jahr sein 20-jähriges Bühnenjubiläum feiert 
Früher konnte man über OneNote und VB-Skript auch schon viel SPASS haben - das ist aber kein Vergleich zu dem, was die letzten Jahre alles möglich ist !
Früher gabs nur ne CMD und die ist genauso, wie heute auch noch strunzdumm - da erreicht der Malware-Fuzzi nixx mit!! …Mit der PowerShell inkl. der vielen Erweiterungen etc. ist die blaue Kommandozeile ein sehr mächtiges Werkzeug…siehe Microsoft Core-Server Konfiguration etc. pp.
Hier mal ein Funktionsablauf, am Beispiel einer ausführbaren HTA-Datei aus OneNote:
HTA-Datei mit eingebettetem VBScript-Code. Dieser Code ist in fünf (5) Hauptfunktionen unterteilt: WmiExec , dukpatek , AutoOpen , WscriptExec und ExecuteCmdAsync . Wenn die Datei geöffnet wird, wird die Funktion AutoOpen aufgerufen, die wiederum die Funktion ExecuteCmdAsync zweimal aufruft und den auszuführenden Befehl übergibt. In diesem Fall wird eine Konsole erstellt, um einen PowerShell-Befehl zu erzeugen und auszuführen. Der PowerShell-Befehl lädt eine Datei von einem Remote-Server herunter, speichert sie lokal und führt sie dann aus. Der erste Aufruf von ExecuteCmdAsync lädt eine Invoice.one-Dateiherunter. Wenn diese Datei heruntergeladen und ausgeführt wird, öffnet sie eine neue Registerkarte im aktuellen OneNote, in der die „heruntergeladene Rechnung“ angezeigt wird. Der zweite Aufruf von ExecuteCmdAsync lädt ein Batch-Skript herunter und führt es aus. Dieses Batch-Skript würde dann die eigentliche Malware enthalten, um eine Verbindung zum Befehls- und Kontrollsystem des Angreifers (C2) herzustellen, mit alle seinen Folgen, die auch noch dazu addiert werden müssen 