Les recherches montrent que :
• L’utilisation de documents Microsoft OneNote pour diffuser des malwares est en hausse, et très populaire auprès de nombreux acteurs de la menace.
• Si certaines campagnes visent des secteurs spécifiques, la plupart sont globales et comptent des milliers d’emails infectés.
• Le malware s’active lorsque l’utilisateur ciblé interagit avec le document OneNote infecté.
• Les campagnes ont touché de nombreuses entreprises à travers le monde, y compris en Amérique du Nord et en Europe.
• L’acteur de la menace TA577, revenu d’une période d’inactivité d’un mois, a commencé à utiliser Microsoft OneNote pour diffuser le malware Qbot à la fin du mois de janvier.

L’équipe de chercheurs Proofpoint explique comment « depuis plusieurs mois, les acteurs de la menace testent de nouvelles tactiques, techniques et procédures (TTP) pour diffuser des logiciels malveillants par e-mail, parmi lesquels l’utilisation de documents Microsoft OneNote. Une méthode qui tente de manière créative de contourner les radars des antivirus. Néanmoins, pour qu’une infection soit réussie, l’utilisateur doit interagir avec le document OneNote infecté, et donc ignorer les avertissements l’alertant d’un potentiel contenu malveillant. Compte tenu de l’utilisation croissante de OneNote dans les campagnes et de la diversité des charges utiles, il y a fort à parier que davantage d’acteurs adoptent de telles méthodes dans les campagnes à venir. »