Nem titok, hogy a kiberbűnözők már régóta kihasználják az Office alkalmazások, például a Word és az Excel makrófunkcióját, hogy rosszindulatú szoftverekkel fertőzzék meg a gyanútlan felhasználók számítógépeit. Ezt általában úgy teszik, hogy rosszindulatú makró kódot juttatnak be egy legitim Word- vagy Excel-dokumentumba, majd meggyőzik a felhasználókat, hogy engedélyezzék a makrókat a fájl megfelelő megjelenítése érdekében. Ez azonban csak azt teszi lehetővé, hogy a rosszindulatú szoftver pusztítást végezzen az áldozat számítógépén.
A Microsoft tisztában van a fenyegető szereplők ilyen viselkedésével, ezért végül alapértelmezésben blokkolta a makrókat az Office-dokumentumokban. A kiberbűnözők azonban most egy másik alkalmazást használnak arra, hogy becsapják a felhasználókat, és rosszindulatú szoftverekkel fertőzzék meg PC-jüket: a OneNote digitális jegyzetelő alkalmazást.
Amint arról a BleepingComputer beszámolt, a kiberbűnözők olyan adathalász e-maileket küldtek, amelyek állítólag DHL-számlákat, átutalási űrlapokat, szállítási értesítéseket és dokumentumokat, valamint gépészeti rajzokat tartalmaznak. Ahelyett, hogy makrókat használnának, amelyeket a OneNote nem támogat, az elkövetők a OneNote azon képességére támaszkodnak, amely lehetővé teszi, hogy a jegyzetfüzethez rosszindulatú VBS-fájlokat csatoljanak. Ha veszélyről mit sem sejtő felhasználó ezekre a fájlokra duplán rákattint, automatikusan letölti és telepíti a rosszindulatú programokat egy távoli webhelyről. Hogy elrejtsék őket, és a OneNote-dokumentumot a lehető leginkább legálisnak tüntessék fel, a kiberbűnözők egy "Dupla kattintás a fájl megtekintéséhez" mezőt helyeznek el felettük.
A dobozra kattintva elindulnak a fájlok, amelyek rosszindulatú szoftvereket telepítenek az eszközre. És bár a OneNote figyelmezteti a felhasználókat, hogy a mellékletek megnyitása kárt okozhat a felhasználó számítógépében, valamint adataiban, sok felhasználó lehet, hogy egyszerűen figyelmen kívül hagyja a figyelmeztetést, és mégis az "OK" gombra kattint.
A korábban említett e-mailekben elhelyezett rosszindulatú OneNote-dokumentumok jellemzően távoli hozzáférési trójaiakat telepítenek, amelyek érzékeny információkat és kriptopénz-tárcákat lophatnak el. Mások akár képernyőfotókat is készíthetnek és videót rögzíthetnek az áldozat webkamerájának segítségével.
