הקובץ התמים לכאורה של Microsoft OneNote הפך לפורמט קובץ פופולרי המשמש האקרים להפצת נוזקות ופריצה לרשתות ארגוניות. האקרים ניצלו פקודות מאקרו במסמכי Microsoft Word ו- Excel במשך שנים כדי להתקין נוזקות במכשירי Windows. לאחר שמיקרוסופט השביתה לבסוף פקודות מאקרו כברירת מחדל במסמכי Word ו- Excel, החלו האקרים לפנות לפורמטים אחרים של קבצים פחות נפוצים כדי להפיץ נוזקות, כגון באמצעות קבצי ISO וקבצי ZIP המוגנים בסיסמה. אלו היו פורמטים פופולריים של קבצים, שכן באג של Windows אפשר לקבצים ב- ISO לעקוף אזהרות אבטחה והכלי הפופולרי 7-Zip archive לא הזהיר מקבצים שחולצו מארכיוני ZIP. לאחר שגם 7-Zip וגם Windows תיקנו את הבאגים הללו, החלה Windows שוב להציג אזהרות אבטחה כאשר ניסה משתמש לפתוח קבצים בקבצי ISO ו- ZIP, מה שגרם להאקרים למצוא פורמט קובץ אחר לשימוש במתקפות סייבר.
מאז אמצע דצמבר, החלו האקרים להשתמש בפורמט קובץ אחר להפצת נוזקות – קבצים מצורפים של Microsoft OneNote. קבצים מצורפים של Microsoft OneNote משתמשים בסיומת הקובץ '.one' ומהווים בחירה מעניינת, מכיוון שהם אינם מפיצים נוזקות באמצעות פקודות מאקרו או פגיעויות אבטחה. במקום זאת, יוצרים ההאקרים תבניות מורכבות שנראות כמסמך מוגן עם הודעה "Double Click" על כפתור כדי להציג את הקובץ. הכפתור ללחיצה כפולה מסתיר למעשה סדרה של קבצים המוטמעים מתחת לשכבת הכפתור. בעת לחיצה כפולה על הכפתור, למעשה לוחצים פעמיים על הקובץ המוטבע וגורמים להפעלתו. בעוד לחיצה כפולה על קובץ מוטבע תציג אזהרת אבטחה, כפי שידוע ממתקפות קודמות שניצלו פקודות מאקרו של Microsoft Office, מתעלמים בדרך כלל משתמשים מהאזהרות ומאפשרים לקובץ לפעול בכל מקרה. למרבה הצער צריך רק משתמש אחד שיאפשר בטעות לקובץ זדוני לרוץ עבור רשת ארגונית שלמה שתיפגע במתקפת כופרה. יש לציין כי אין זה תיאורטי, שכן בחלק מהמתקפות של Microsoft OneNote QakBot, גילו חוקרי אבטחה שהן הובילו בסופו של דבר למתקפת כופרה.
הדרך הטובה ביותר למנוע מקבצים מצורפים זדוניים של Microsoft OneNote להדביק את Windows, היא לחסום את סיומת הקובץ '.one' בהגדרות הדואר או בשרתי הדואר. עם זאת, במידה ואין הדבר אפשרי עבור סביבת העבודה, ניתן להשתמש במדיניות קבוצתית של Microsoft Office כדי להגביל את ההפעלה של קבצים מצורפים ב- Microsoft OneNote.
