微软 OneNote 附件被用于 Emotet 分发 媒体

2025-10-22 19:31:40

微软默认阻止宏，威胁行为者转向 OneNote 传播 Emotet 恶意软件

重要信息总结

微软已默认阻止宏，威胁行为者利用 OneNote 附件传播 Emotet 恶意软件。恶意 OneNote 文档要求用户点击查看按钮，而隐藏恶意 VBScript 文件。新的 Emotet 攻势可能仍会分发其他恶意软件，如 Cobalt Strike。微软正增强 OneNote 的钓鱼保护措施，以应对日益增加的恶意软件攻击。

随着微软默认阻止宏，网络犯罪分子开始通过回复链邮件发送带有 Microsoft OneNote 附件的邮件，以此来分发 Emotet 恶意软件 。根据 BleepingComputer 的报告，恶意的 OneNote 文档会显示一条提示信息，告知文件受保护，并要求用户双击“查看”按钮。这实际上是一个恶意的 VBScript 文件，能够从远程网站下载和运行 DLL。

通过绕过 Microsoft OneNote 的警告来启动嵌入的文件，将会在 OneNote 的 Temp 文件夹中通过 WScriptexe 执行 VBScript 文件，Emotet 会被下载并存储在同一文件夹中，然后部署 regsvr32exe DLL。至今尚无关于新 Emotet 攻势中其他有效载荷的信息，但在过去的 Emotet 攻势中，通常涉及到 Cobalt Strike 等恶意软件的传播。

飞马加速器

随着利用 OneNote 的恶意软件攻击不断增加，微软正强化该平台的钓鱼保护，以提高用户的安全性。

主题详细信息攻击方式利用 OneNote 附件传播 Emotet 恶意软件恶意文档隐藏 VBScript 以下载和执行 DLL影响可能传播 Cobalt Strike 等其他恶意软件微软应对加强 OneNote 钓鱼保护

相关文章：

Emotet 恶意软件分析钓鱼攻击的预防措施