Tra dicembre 2022 e gennaio 2023, i ricercatori di Proofpoint hanno identificato un aumento dell’uso di documenti OneNote per distribuire malware agli utenti. In particolare, i cybercriminali hanno sfruttato OneNote, un taccuino digitale creato da Microsoft e disponibile tramite la suite di prodotti Microsoft 365, per diffondere il loro malware in documenti con estensione .one, tramite allegati email e URL.
Già nel dicembre scorso, Proofpoint ha osservato sei campagne che utilizzavano gli allegati di OneNote per distribuire il malware AsyncRAT. Successivamente, a gennaio 2023, Proofpoint ha ne ha rilevate più di 50 che hanno consegnato diversi payload di malware, tra cui AsyncRAT, Redline, AgentTesla e DOUBLEBACK. In particolare, il broker di accesso TA577 ha iniziato a utilizzare documenti OneNote per consegnare Qbot alla fine di gennaio 2023 con campagne che comprendevano più mittenti e soggetti, caratterizzate da targeting e volume diversi.
