Dopo la dura presa di posizione di Microsoft riguardo la disabilitazione delle macro VBA e l’introduzione del flag MotW (Mark of the Web) per contrastare la diffusione di malware tramite documenti Office, gli autori di software malevolo hanno iniziato a sfruttare la popolarità dei documenti OneNote. Questi documenti consentono di incorporare al loro interno ulteriori file e permettono quindi di avere un unico contenitore con cui diffondere malware tramite e-mail. 

OneNote è un’applicazione Microsoft che fa parte della suite Office e consente di scrivere note, prendere appunti, creare liste e di condividere il tutto sui dispositivi mobile e desktop in cui è presente l’applicazione. 

Le campagne di malspam che utilizzano gli allegati OneNote sono solitamente strutturate in modo analogo alle campagne di phishing, dove l’obiettivo è quello di indurre l’utente a compiere un’azione. In questo, caso la vittima viene invitata a prendere visione del documento OneNote e, una volta aperto, verrà mostrata un’anteprima poco visibile con un pulsante che incoraggia la vittima ad aprire il documento con un doppio click. È quindi sempre necessaria un’azione dell’utente affinché venga attivata la catena di infezione. 

Fonte: cert-agid.gov.it