QakNote támadás
A Sophos kutatói egy új kampányt azonosítottak, ami a kihasználja azt az Office formátumot – amit eddig kevésbé használtak ki fenyegetési szereplők – a OneNote alkalmazás által használt .one fájlokat.
A Qakbot malware csoport, eddig többnyire e-maileket használt támadási vektorként, de január 31-én elkezdte használni a OneNote .one dokumentumokat a támadásai során. A Sophos két párhuzamos spamkampányt figyelt meg: az egyikben a rosszindulatú e-mailek egy hivatkozást ágyaztak be, ami arra késztette a címzettet, hogy töltsön le egy egy fájlt, ami kártékony kódot tartalmaz. A malspam ezen verzióiban a címzett vezetékneve megismétlődik az üzenet tárgyában, de az üzenetek egyébként meglehetősen személytelenek. A másik az úgynevezett üzenetszál-injektálás (message thread injections), ahol a egy már meglévő kommunikáció részes felei egy csatolt, rosszindulatú OneNote-jegyzetfüzettel kapnak választ, egy látszólag a kommunikációban résztvevő féltől.
Az adminisztrátorok olyan szabályokat hoztak létre, amelyek megakadályozzák, vagy figyelmeztetik a szervezeten kívülről érkező, különféle visszaélésszerű fájlformátumokat csatolt bejövő üzeneteket. Valószínűnek tűnik, hogy a OneNote .one jegyzetfüzetek lesznek a következő fájlformátumok, amelyek az e-mail mellékletekben blokkolásra kerülnek, de jelenleg ez még kockázatot jelent.