OneNote udnyttes i ny bølge af cyberangreb – dansk virksomhed ramt

Ifølge en ny rapport fra cybersikkerhedsvirksomheden Proofpoint har man observeret en kraftig stigning i brugen af OneNote-dokumenter i december og januar i forbindelse med forsøg på indtrængen. Flere af angrebene har været rettet mod specifikke brancher. En af de ramte virksomheder er danske TP Aerospace

Opdateret med info om TP Aerospace.

Det populære program OneNote, som har flere millioner brugere verden over, er en digital notesbog skabt af Microsoft, som indgår i produktsuiten Microsoft 365. I december observerede cybersikkerhedsforskere Nyhedstips fra Proofpoint seks forsøg på at levere skadelig software via OneNote. I januar steg antallet til 50 OneNote-angreb.

Størstedelen af de beskeder, der deles, indeholder OneNote-filer med temaer som “faktura” eller “fragt”, og flere af angrebene har været rettet mod specifikke brancher, blandt andet produktion og industri. Det er i dette tilfælde TP Aerospace der er blevet udsat. De cyberkriminelle har spoofed virksomhedens varemærke – det vil sige at de har anvendt deres navn og logo – og har udgivet sig for at være virksomheden for at lokke modtageren til at åbne de skadelige filer. Taktikken med at de cyberkriminelle stjæler et varemærkes identitet og troværdighed for at snyde folk bruges ofte. 

Cyberkriminelle aktører har i længere tid eksperimenteret med nye teknikker og procedurer til at levere skadelig software via e-mail. Brugen af lige netop OneNote-dokumenter til at levere skadeligt indhold er en metode, som er designet til at snige sig uden om modtagerens antivirusprogram. På baggrund af den stigende brug af OneNote i angreb forventer vi, at vi vil se flere aktører benytte lignende metoder fremover.

Proofpoint

Størstedelen af de undersøgte skadelige vedhæftninger indeholder software såsom AsyncRAT og QuasarRAT, dvs. virus, som er udformet til at fjernovervåge og styre andre computere. Ved angrebene i slutningen i januar 2023 blev der også observeret nye virusprogrammer, blandt andet den skadelige software DOUBLEBACK. Den fungerer som en bagindgang til computerens hukommelse, hvilket muliggør overvågning af netværket og datatyveri, og den gør desuden computeren sårbar over for yderligere indtrængen.

Proofpoint vurderer, at de initiale angreb sandsynligvis havde en høj effektivitetsgrad, hvis e-mailen ikke blev blokeret af modtagerens antivirusprogram. De mener også, at det er sandsynligt, at flere cyberkriminelle aktører fremover vil bruge OneNote-bilag som metode til at levere skadelig software. 

For at denne type angreb skal fungere, skal modtageren interagere med den vedhæftede fil ved at åbne den og ignorere den advarselsmeddelelse, som OneNote viser. Vi opfordrer derfor alle organisationer til at informere deres brugere om disse teknikker og opfordrer til, at de rapporterer mistænkte e-mails og vedhæftede filer.

Proofpoint
About Lars Bennetzen 4202 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.