{"id":2993,"date":"2023-04-18T09:58:57","date_gmt":"2023-04-18T08:58:57","guid":{"rendered":"https:\/\/wp.neosec.de\/?p=2993"},"modified":"2023-04-18T09:58:58","modified_gmt":"2023-04-18T08:58:58","slug":"die-gefahren-von-onenote-dokumenten","status":"publish","type":"post","link":"https:\/\/wp.neosec.de\/die-gefahren-von-onenote-dokumenten\/","title":{"rendered":"Die Gefahren von OneNote-Dokumenten"},"content":{"rendered":"\n

Eine neue b\u00f6sartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die b\u00f6sartige “.one”-Datei erstmals Anfang Dezember.<\/p>\n\n\n\n

Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus b\u00f6sartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.<\/p>\n\n\n\n

Die Datei l\u00e4dt andere b\u00f6sartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausf\u00fchrung zu starten, indem er auf die einzige angezeigte Schaltfl\u00e4che klickt, doch darunter befindet sich ein b\u00f6sartiges Skript.<\/p>\n\n\n\n

Normalerweise warnt das System den Benutzer vor dem \u00d6ffnen einer Ausf\u00fchrungsdatei, aber diese Meldungen werden von den Benutzern h\u00e4ufig ignoriert.<\/p>\n\n\n\n

\"\"
was der Benutzer sieht<\/figcaption><\/figure>\n\n\n\n
\"\"
was wirklich vor sich geht<\/figcaption><\/figure>\n\n\n\n

Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit ge\u00e4ndert werden kann.<\/p>\n\n\n\n

Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff k\u00f6nnte Teil eines Phishing-as-a-Service-Angriffs sein, wor\u00fcber wir bereits geschrieben haben<\/a>. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen k\u00f6nnen mit der Zeit immer gr\u00f6\u00dfer werden.<\/p>\n\n\n\n

Um die Risiken zu mindern, sollten Sie “.one”-Anh\u00e4nge besser kennzeichnen, Mitarbeiter \u00fcber Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je fr\u00fcher Sie sich vorbereiten<\/a>, desto sicherer sind Sie.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine neue b\u00f6sartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die b\u00f6sartige “.one”-Datei erstmals Anfang Dezember. Die Experten erhielten…<\/p>\n","protected":false},"author":6,"featured_media":3000,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_kad_blocks_custom_css":"","_kad_blocks_head_custom_js":"","_kad_blocks_body_custom_js":"","_kad_blocks_footer_custom_js":"","_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false},"categories":[15,16],"tags":[],"acf":[],"taxonomy_info":{"category":[{"value":15,"label":"Hacks"},{"value":16,"label":"Sicherheitsl\u00fccken"}]},"featured_image_src_large":["https:\/\/wp.neosec.de\/wp-content\/uploads\/2023\/04\/onenote-1024x576.jpg",1024,576,true],"author_info":{"display_name":"Vadym Khvoinytskyi","author_link":"https:\/\/wp.neosec.de\/author\/vakym\/"},"comment_info":0,"category_info":[{"term_id":15,"name":"Hacks","slug":"hacks","term_group":0,"term_taxonomy_id":15,"taxonomy":"category","description":"","parent":0,"count":10,"filter":"raw","cat_ID":15,"category_count":10,"category_description":"","cat_name":"Hacks","category_nicename":"hacks","category_parent":0},{"term_id":16,"name":"Sicherheitsl\u00fccken","slug":"sicherheitsluecken","term_group":0,"term_taxonomy_id":16,"taxonomy":"category","description":"","parent":0,"count":12,"filter":"raw","cat_ID":16,"category_count":12,"category_description":"","cat_name":"Sicherheitsl\u00fccken","category_nicename":"sicherheitsluecken","category_parent":0}],"tag_info":false,"_links":{"self":[{"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/posts\/2993"}],"collection":[{"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/comments?post=2993"}],"version-history":[{"count":6,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/posts\/2993\/revisions"}],"predecessor-version":[{"id":3094,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/posts\/2993\/revisions\/3094"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/media\/3000"}],"wp:attachment":[{"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/media?parent=2993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/categories?post=2993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp.neosec.de\/wp-json\/wp\/v2\/tags?post=2993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}