top of page
  • Markus Haas

OneNote-Anhänge werden für Phishing verwendet!

Bedrohungsakteure nutzen bösartige Anhänge in OneNote, um Malware zu verbreiten. Die Angreifer hängen VBS-Dateien an, die den Benutzer dazu auffordern, auf die Datei doppelzuklicken. Die meisten Phishing-Köder geben sich als Versandbenachrichtigungen, Rechnungen oder mechanische Zeichnungen aus.


OneNote ermöglicht es Benutzern, Anhänge in ein Notizbuch einzufügen, die bei einem Doppelklick den Anhang starten. Bedrohungsakteure missbrauchen diese Funktion, indem sie bösartige VBS-Dateien anhängen, die bei einem Doppelklick automatisch das Skript starten, um Malware von einer entfernten Website herunterzuladen und zu installieren. Die Anhänge sehen jedoch, wie ein Dateisymbol in OneNote aus, so dass die Bedrohungsakteure eine grosse Leiste 'Doppelklick zum Anzeigen der Datei' über die eingefügten VBS-Anhänge legen, um sie zu verbergen.


In diesem Fall liefern die Angreifer die Remote-Access-Trojaner AsyncRAT, Quasar und XWorm.

Einmal installiert, ermöglicht diese Art von Malware den Bedrohungsakteuren den Fernzugriff auf das Gerät eines Opfers, um Dateien zu stehlen, Browser-Passwörter zu speichern, Screenshots zu machen und in einigen Fällen sogar Videos über Webcams aufzunehmen.

Der beste Weg, sich vor bösartigen Anhängen zu schützen, ist, einfach keine Dateien von Personen zu öffnen, die man nicht kennt. Wenn Sie jedoch versehentlich eine Datei öffnen, sollten Sie die vom Betriebssystem oder der Anwendung angezeigten Warnungen nicht ignorieren.


Weitere Informationen unter: Security Awareness Training & Simulated Phishing Platform (csf.ch)

1 Ansicht0 Kommentare

Aktuelle Beiträge

Alle ansehen

MGM Resorts International ist ein amerikanisches Gastgewerbe- und Unterhaltungsunternehmen. In der vergangenen Woche machte MGM Schlagzeilen mit der Nachricht von einem Cyberangriff, der zu Einnahmeau

Vor kurzem kündigte Google eine Änderung seiner Richtlinien für inaktive Konten an. Ab Dezember 2023 werden Konten, die seit zwei oder mehr Jahren inaktiv sind, gelöscht. Diese Massnahme soll zwar die

bottom of page