OneNote kihasználása
A Unit 42 jelentése szerint a támadók a Microsoft OneNote-ot visszaélésre használják fel. A WildFire nagyjából 6000 rosszindulatú OneNote-mintájának elemzéséből kiderül, hogy ezek a minták egy adathalász-szerű témát mutatnak, ahol a támadók egy vagy több képet használnak arra, hogy az embereket a OneNote-fájlokra való kattintásra vagy interakcióra csábítsák. Az interakció ezután egy beágyazott rosszindulatú payload-ot futtat. Mivel a makrókat alapértelmezés szerint letiltották az Office-ban, a támadók más Microsoft-termékeket használnak fel a rosszindulatú kódok beágyazására. Ennek eredményeképpen a rosszindulatú OneNote-fájlok egyre népszerűbbek. A OneNote asztali alkalmazás alapértelmezés szerint szerepel a Windowsban az Office 2019 és a Microsoft 365 alkalmazásban, amely rosszindulatú OneNote fájlokat tölthet be, ha valaki véletlenül megnyitja azt.
A Unit 42 megállapította, hogy a támadók szabadon beágyazhatnak akár szövegalapú rosszindulatú szkripteket, akár bináris fájlokat a OneNote-ba. Ez nagyobb rugalmasságot biztosít számukra a dokumentumokban található hagyományos makrókhoz képest.