Οι φορείς απειλών χρησιμοποιούν πλέον συνημμένα του OneNote σε μηνύματα ηλεκτρονικού ψαρέματος που μολύνουν τα θύματα με κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, το οποίο μπορεί να χρησιμοποιηθεί για την εγκατάσταση περαιτέρω κακόβουλου λογισμικού, την κλοπή κωδικών πρόσβασης ή ακόμα και τα πορτοφόλια κρυπτονομισμάτων.
Αυτό έρχεται αφού οι εισβολείς διανέμουν κακόβουλο λογισμικό σε μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας κακόβουλα συνημμένα του Word και του Excel που εκκινούν μακροεντολές για λήψη και εγκατάσταση κακόβουλου λογισμικού εδώ και χρόνια.
Ωστόσο, τον Ιούλιο, η Microsoft τελικά απενεργοποίησε τις μακροεντολές από προεπιλογή στα έγγραφα του Office, καθιστώντας αυτήν τη μέθοδο αναξιόπιστη για τη διανομή κακόβουλου λογισμικού.
Αμέσως μετά, οι φορείς απειλών άρχισαν να χρησιμοποιούν νέες μορφές αρχείων, όπως εικόνες ISO και αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης. Αυτές οι μορφές αρχείων σύντομα έγιναν εξαιρετικά κοινές, με τη βοήθεια ενός σφάλματος των Windows που επέτρεπε στα ISO να παρακάμπτουν τις προειδοποιήσεις ασφαλείας και το δημοφιλές βοηθητικό πρόγραμμα αρχειοθέτησης 7-Zip που δεν διαδίδει σημαίες σήμανσης του ιστού σε αρχεία που εξάγονται από αρχεία ZIP.
Ωστόσο, διορθώθηκαν πρόσφατα αυτά τα σφάλματα που προκαλούν τα Windows να εμφανίζουν προειδοποιήσεις ασφαλείας όταν ένας χρήστης επιχειρεί να ανοίξει αρχεία σε αρχεία ISO και ZIP που έχει λάβει.
Για να μην αποθαρρυνθούν, οι φορείς απειλών στράφηκαν γρήγορα στη χρήση μιας νέας μορφής αρχείου στα κακόβουλα ανεπιθύμητα (malspam) συνημμένα: συνημμένα του Microsoft OneNote.