Pliki Microsoft OneNote w nowej kampanii malware
Sprawdź darmową edukację z cyberbezpieczeństwa ↓

Pliki Microsoft OneNote w nowej kampanii malware

Odkryto nową cyberprzestępczą kampanię nazwaną QakNote. Wykorzystuje ona złośliwe załączniki Microsoft OneNote celem infekowania malware.

Badacze odkryli nową cyberprzestępczą kampanię nazwaną QakNote. Wykorzystuje ona złośliwe załączniki Microsoft OneNote do infekowania urządzeń malware Qbot. 

Qbot (QakBot) to złośliwe oprogramowanie, które specjalizuje się w uzyskiwaniu wczesnego dostępu do urządzeń. W konsekwencji umożliwia cyberprzestępcom ładowanie dodatkowego malware na zainfekowane maszyny, wykradanie danych, wdrażanie oprogramowania ransomware lub inne działania w całej sieci.

Dokumenty Microsoft OneNote rozpowszechniają malware

Załączniki programu OneNote w wiadomościach phishingowych pojawiły się w zeszłym miesiącu jako nowy wektor ataku. Działanie to miało na celu zastąpienie złośliwych makr w dokumentach pakietu Office. 

Przypomnijmy, Microsoft w lipcu 2022 r. wyłączył uruchamianie makr w plikach Office pobranych z Internetu, co skutecznie uniemożliwiło stosowanie tego popularnego wektora ataku. Od tego czasu wśród cyberprzestępców popularność zdobywają nowe metody. 

Jedną z nich jest właśnie wykorzystywanie złośliwych dokumentów Microsoft OneNote. Aktorzy są w stanie osadzać w nich prawie każdy typ pliku, w tym załączniki VBS lub pliki LNK. Dwukrotne kliknięcie osadzonego załącznika w notatniku OneNote powoduje jego wykonanie. Aby jednak zmusić użytkownika do kliknięcia, konieczne jest wprowadzenie elementu socjotechniki. W tym celu autorzy malware zazwyczaj tworzą fałszywy przycisk “Double Click to View File” lub z innym wezwaniem do działania, jak pokazano poniżej.
Przykład złośliwego załącznika Microsoft OneNote. Źródło: Bleeping Computer

Po uruchomieniu osadzone załączniki mogą wykonywać polecenia na urządzeniu w celu pobrania i zainstalowania złośliwego oprogramowania.

Kampania QakNote

Operatorzy malware Qbot rozpoczęli eksperymenty z tą metodą dystrybucji końcem stycznia. Badacze z firmy Sophos przybliżają, że cyberprzestępcy używają plików One Note zawierających osadzoną aplikację HTML (plik HTA). Ta z kolei pobiera ładunek złośliwego oprogramowania QBot. 

Skrypt w pliku HTA użyje legalnej aplikacji curl.exe do pobrania pliku DLL (złośliwego oprogramowania Qbot) do folderu C:\ProgramData. Następnie zostanie on wykonany przy użyciu Rundll32.exe.
Zawartość złośliwego pliku HTA Źródło: Sophos

Ładunek QBot wstrzykuje się do menedżera Windows Assistive Technology (“AtBroker.exe”). W ten sposób ładunek ukrywa swoją obecność i unika wykrycia przez programy antywirusowe działające na urządzeniu. 

Sophos donosi, że operatorzy QBota stosują dwie metody dystrybucji tych plików HTA. Jedną z nich jest wysyłanie złośliwych wiadomości e-mail z osadzonym linkiem do fałszywego pliku *.one. Z kolei druga to popularne “thread injections”. W tym przypadku operatorzy QBot przejmują istniejące wątki e-mail i przy użyciu opcji “odpowiedz wszystkim” wysyłają do adresatów wiadomość ze złośliwym plikiem OneNote jako załącznikiem. 

Cyberprzestępcy używają fałszywego przycisku w pliku .one, który rzekomo pobiera dokument z chmury. Niestety po kliknięciu jedyne co nas czeka to uruchomienie osadzonego załącznika HTA.
Plik złośliwego spamu QBota. Źródło: Sophos

Chociaż czynność ta wygeneruje okno dialogowe z ostrzeżeniem o ryzyku związanym z uruchamianiem załączników, zawsze istnieje szansa, że ​​zostanie ono zignorowane. 

W ramach obrony przed nowym wektorem ataku Sophos sugeruje zablokowanie przez administratorów wszystkich plików z rozszerzeniami .one. Swoje rekomendacje firma uzasadnia faktem, iż pliki takie nie są powszechnie wysyłane jako załączniki. A nasza porada? Taka sama jak zwykle w przypadku ataków phishingowych  – przede wszystkim  ostrożność i zdrowy rozsądek. :-)

 Źródło: https://www.bleepingcomputer.com/news/security/new-qaknote-attacks-push-qbot-malware-via-microsoft-onenote-files/ 
Grafika: Freepik
Oceń blog:
Czas czytania: 5 min
Data: 10.02.2023

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej
Trend Micro Cloud App Security

Trend Micro Cloud App Security

Trend Micro Cloud App Security to zaawansowana ochrona aplikacji chmurowych, takich jak Microsoft 365 i Google Workspace, zapewniająca skuteczną obronę przed phishingiem, ransomware i atakami BEC. Dzięki integracji z XDR oraz analizie zagrożeń w czasie rzeczywistym zabezpiecza udostępnianie plików i chroni dane firmowe przed cyberatakami.

Wycena indywidualna
Zobacz więcej
Warsztaty jednodniowe Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Nowość

Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Terminy ustalane są indywidualnie po osiągnięciu minimalnej liczby uczestników. Warsztaty odbywają się w formie ONLINE.

1722.00 PLN
Zobacz więcej