Según investigaciones de la empresa de ciberseguridad Proofpoint, desde diciembre de 2022 ha habido un aumento significativo de campañas que usan documentos de la aplicación para notas digitales Microsoft OneNote, con la extensión .one, mediante adjuntos de correo electrónico y enlaces para enviar malware a organizaciones objetivo en todo el mundo, incluida Europa.
Mientras que el pasado diciembre solo se observaron seis campañas con este tipo de adjuntos para distribuir AsyncRAT, en enero de este año se han observado más de 50 campañas que distribuían siete tipos diferentes de payloads, o cargas que se ejecuta en una vulnerabilidad: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y Qbot. El aumento en el número total de campañas y la diversidad de payloads sugieren que son múltiples grupos de ciberdelincuentes los que están utilizando OneNote. Solo una de las campañas se pudo atribuir a un grupo rastreado anteriormente, el TA577, pero el resto no se han podido relacionar todavía con ningún grupo conocido.
Pese a este aumento, esta práctica para distribuir malware sigue siendo poco habitual dentro del panorama de amenazas actual. Desde que Microsoft empezó a bloquear las macros por defecto en 2022, los atacantes han experimentado con muchas tácticas, técnicas y procedimientos (TTP) nuevos, incluidos archivos que antes no se veían con frecuencia, como el disco duro virtual (VHD), HTML compilado (CHM) y ahora OneNote (.one).
Las campañas observadas comparten características similares. Aunque los asuntos de los mensajes y los remitentes varían, casi todas utilizan mensajes únicos para distribuir malware y no suelen secuestrar hilos de conversación (thread hijacking). En el contenido de los emails es habitual encontrar temas genéricos relacionados con los negocios, como facturas, envíos, impuestos o pagas extra.
Los documentos de OneNote contienen archivos incrustados y, a menudo, ocultos tras un gráfico que parece un botón. Cuando el usuario hace doble clic en el archivo incrustado, recibe una advertencia. Si el usuario hace clic en continuar, el archivo se ejecutará. Puede tratarse de distintos tipos de ejecutables, archivos de acceso directo (LNK) o archivos de secuencia de comandos, como aplicaciones HTML (HTA) o archivos de secuencia de comandos de Windows (WSF).
Por ahora, la técnica es eficaz. En el momento del análisis, varias muestras de malware de OneNote observadas no fueron detectadas por numerosos proveedores de antivirus.