Aggiornamenti recenti Febbraio 18th, 2026 2:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Davvero si può fare “jailbreak” a un caccia F-35?
- Il malware che ruba password e ambienti delle IA locali
- Lo shotdown USA tarpa le ali alla CISA
- False estensioni AI su Chrome: rubano API e sessioni
- Effetto Domino: nel 2026 i fornitori sono le vulnerabilità più critiche
File OneNote per distribuire malware: individuate decine di campagne attive
I ricercatori di Proofpoint hanno individuato diverse campagne che utilizzano OneNote di Microsoft per distribuire malware. Il periodo tra dicembre 2022 e gennaio 2023 ha registrato un importante aumento di attacchi che utilizzavano i file .one per diffondere codice malevolo, condivisi come allegati di email o tramite URL.
Le campagne hanno colpito gli utenti di Europa e Nordamerica e sono state opera di diversi gruppi di cybercriminali. A gennaio se ne sono registrate più di 50, contro le 6 individuate a dicembre scorso. A dicembre le campagne utilizzavano i file per distribuire il malware AsyncRat, mentre a gennaio i ricercatori hanno individuato i payload di diversi malware, tra i quali Redline, AgentTesla e DOUBLEBACK.
In particolare, ProofPoint ha scoperto che il broker di accesso TA577 ha cominciato a usare i file .one per distribuire il malware Qbot. Il target comprendeva una moltitudine di mittenti e soggetti appartenenti a diverse organizzazioni.
Gli attaccanti hanno evoluto le proprie tecniche per aggirare i controlli degli antivirus, inserendo malware in tipologie di file finora poco usate, come l’HTML compilato, i dischi rigidi virtuali e ora anche i documenti OneNote.
Attenzione ai file OneNote sospetti
Come spiegano i ricercatori, l’infezione ha successo solo se l’utente interagisce col documento, ignorando gli alert sulla pericolosità del contenuto. In futuro, spiega ProofPoint, sempre più attaccanti potrebbero decidere di utilizzare metodi simili per diffondere i payload malevoli.
Le campagne osservate dai ricercatori sono piuttosto simili tra loro: gli attacchi sfruttano messaggi unici e non thread hijacking, e gli oggetti delle email spaziano tra fatture, spedizioni o bonus natalizi e di inizio anno. Quando l’utente apre il file gli viene comunicato che il documento potrebbe essere dannoso; se l’avviso viene ignorato, il file viene eseguito. Il documento può a sua volta essere composto da diversi tipi di eseguibili, script Windows, script HTML o file di collegamento.
Le previsioni dei ricercatori di ProofPoint parlano di un aumento degli attacchi nei prossimi mesi; per questo, ancora una volta, è importante fare attenzione a messaggi sospetti e a documenti non attendibili.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Davvero si può fare “jailbreak” a un caccia F-35? Durante un’intervista in un podcast, il segretario di... -
TrendAI: il 2026 sarà l’anno... L’intelligenza artificiale automatizzerà... -
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Davvero si può fare “jailbreak” a un caccia F-35? Durante un’intervista in un podcast, il segretario di...
-
Il malware che ruba password e ambienti delle IA locali Hudson Rock è un’azienda specializzata in sicurezza... -
Lo shotdown USA tarpa le ali alla CISA Il blocco delle attività del Department of Homeland... -
False estensioni AI su Chrome: rubano API e sessioni Un’inquietante campagna di cyberspionaggio ha colpito... -
Effetto Domino: nel 2026 i fornitori sono le vulnerabilità... Nell’ultimo High-Tech Crime Trends Report 2026 realizzato...
Ransomware: la serie
No posts found.