警惕利用 OneNote 附件的新型网络钓鱼攻击

你可能习惯了在邮件中提防可疑的 Word 或 Excel 附件，但现在，黑客们找到了新的伪装工具：微软的 OneNote。这种我们常用于记笔记的文档格式，正被用来传播恶意软件。我的理解是，攻击方式的“升级”往往源于安全措施的进步，这提醒我们，网络安全意识也需要不断更新。

攻击方式的演变：从宏到附件

多年来，网络钓鱼邮件的“标配”是带有恶意宏的 Office 文档。当微软在去年7月默认禁用宏后，这种方法就失效了。攻击者随后转向使用 ISO 镜像和加密的 ZIP 文件，但随着 Windows 和 7-Zip 修复了相关安全漏洞，这些文件在打开时也会触发明显的安全警告。于是，他们迅速找到了新的载体——OneNote 附件。

OneNote 为何成为新目标

OneNote 是一款数字笔记本应用，通常随 Office 或 Microsoft 365 一同安装，这意味着即使用户不常用它，电脑也默认能打开这种格式的文件。从去年12月中旬开始，安全研究人员就发现攻击者开始利用它来分发恶意软件。这些钓鱼邮件常伪装成 DHL 通知、发票或汇款单等日常文件，具有很强的迷惑性。

恶意附件的运作原理

OneNote 本身不支持宏，攻击者利用了它的另一个功能：允许在笔记中插入附件。在恶意样本中，攻击者插入的是恶意的 VBS 脚本文件。为了诱骗用户点击，他们会在脚本图标上覆盖一个显眼的“双击查看文件”按钮栏。一旦用户双击，实际上就会运行那个隐藏的 VBS 脚本。虽然 OneNote 在启动外部附件时会弹出安全警告，但这类提示常常被用户忽略。

点击之后的严重后果

如果用户忽略了警告并确认执行，VBS 脚本就会开始工作。它会从远程服务器下载并执行文件。表面上，可能会打开一个看似正常的诱饵文档（比如一张发票图片），但后台已经在悄悄安装恶意软件。目前发现的这些 OneNote 附件主要用来传播远程访问木马，例如 AsyncRAT、XWorm 等。这类恶意软件一旦安装，攻击者就能远程控制受害者电脑，窃取文件、密码、浏览器数据，甚至加密货币钱包，危害极大。

如何保护自己

面对这种威胁，最根本的原则依然不变：不要打开来源不明的邮件附件。如果因为疏忽已经打开了文件，请务必认真对待系统或应用程序弹出的任何安全警告。如果看到“打开此文件可能会损害您的计算机”这类提示，千万不要轻易点击“确定”，而应立即关闭。如果对某封邮件的真实性有疑虑，最稳妥的方法是向公司的安全或 IT 管理员求助，请他们帮忙验证。

网络攻击的手段总是在翻新，但谨慎的态度和良好的安全习惯始终是我们最好的防护盾。对于任何未经请求的附件，保持怀疑，并留意系统的每一次安全提醒。