
Anche in Italia cresce l’utilizzo di documenti OneNote come vettore malware. Dopo le misure di contrasto prese da Microsoft contro la diffusione di malware tramite documenti Office (disabilitazione delle macro VBA e introduzione del flag Mark of the Web) sono infatti già diversi gli attori malevoli che hanno scelto di utilizzare OneNote (un’applicazione Microsoft che fa parte della suite Office) in alternativa ai file Office e ai contenitori ISO e IMG.
Le campagne malspam rilevate
Secondo Il CERT-AgID che ha monitorato il fenomeno nel panorama italiano sarebbero 10 le campagne malspam rilevate negli ultimi cinque mesi che hanno sfruttato per l’appunto i documenti OneNote come vettore di attacco iniziale per distribuire 5 diverse famiglie di malware:
- AsyncRat, una campagna nel mese di dicembre 2022 afferente al gruppo TA558;
- Qackbot, quattro campagne nei mesi di gennaio e febbraio 2023 afferenti al gruppo TA551 e due campagne nel mese di aprile 2023;
- SystemBC, una campagna nel mese di marzo 2023 afferente al gruppo TA577;
- Emotet, una campagna nel mese di marzo 2023 afferente al gruppo TA542;
- Adwin, una campagna nel mese di aprile 2023 afferente al gruppo TA558;

La catena d’infezione
Il modus operandi è sempre lo stesso con l’obiettivo di indurre l’utente con l’inganno a compiere un’azione affinchè venga attivata la catena di infezione.

Una e-mail a tema documenti, pagamenti/spedizioni, propone un documento OneNote come allegato o tramite link presente nel corpo del messaggio (a volte compresso in archivi ZIP/TAR o richiamato da un link contenuto in un file PDF).
In tutti i casi il file .ONE può eseguire il payload in background tramite file MSI o file script di tipo cmd, chm, vbe, hta.
“I file .ONE sono semplici da realizzare, non beneficiano della protezione Mark-of-the-Web (MotW) e, soprattutto, possono essere facilmente armati con script malevoli pronti per essere eseguiti con un semplice doppio click da parte dell’utente. Nonostante l’applicazione OneNote avvisi l’utente tramite un popup che si sta tentando di avviare un file allegato al documento, le vittime normalmente non badano all’avviso e cliccano sul pulsante “OK” per eliminarlo, consentendo di fatto l’esecuzione dello script malevolo.“, commentano gli esperti del CERT-AgID.
Raccomandazioni
Alla luce di tutto questo il CER-AgID consiglia di mantenere sempre aggiornate le firme antivirus e rendere gli utenti consapevoli dei possibili rischi correlati anche all’uso di documenti OneNote condivisi da terze parti o da presunte fonti legittime.