È in corso una campagna di attacco che utilizza Microsoft OneNote per sottrarre credenziali di accesso ad account Microsoft. Come di norma, il vettore principale di attacco è la posta elettronica. Circolano in rete messaggi che simulano di essere state inviate da parte di società finanziarie italiane realmente esistenti. Queste mail contengono un link a un documento OneNote che dovrebbe essere, secondo la mail, una "proposta" di natura non specificata.

Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.

Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.

L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.