عملية التصيد الاحتيالي في OneDrive
حذر خبراء الأمن السيبراني من حملة تصيد جديدة تستهدف مستخدمي Microsoft OneDrive. تهدف هذه الحملة إلى نشر برنامج PowerShell الضار من خلال استخدام تقنيات الهندسة الاجتماعية المتطورة لخداع المستخدمين لتشغيل البرنامج النصي وتهديد أنظمتهم. يراقب الباحثون حملة التصيد والتنزيل المبتكرة هذه، والتي أطلقوا عليها اسم OneDrive Pastejacking.
جدول المحتويات
يقوم المهاجمون بتقليد OneDrive لخداع الضحايا
يبدأ الهجوم برسالة بريد إلكتروني تحتوي على ملف HTML يعرض، عند فتحه، صورة تحاكي صفحة OneDrive ويعرض رسالة خطأ تنص على ما يلي: "فشل الاتصال بالخدمة السحابية 'OneDrive'. لحل هذه المشكلة، قم بتحديث DNS يدويًا مخبأ."
توفر رسالة البريد الإلكتروني خيارين: "كيفية الإصلاح" و"التفاصيل". يوجه رابط "التفاصيل" المستخدمين إلى صفحة Microsoft Learn الأصلية حول استكشاف أخطاء DNS وإصلاحها.
ومع ذلك، فإن النقر فوق "كيفية الإصلاح" يقود المستخدمين من خلال سلسلة من الخطوات التي تتضمن الضغط على "Windows Key + X" للوصول إلى قائمة الارتباط السريع، وفتح محطة PowerShell، ولصق أمر مشفر باستخدام Base64 يهدف إلى إصلاح المشكلة.
يقوم هذا الأمر أولاً بتنفيذ ipconfig /flushdns، ثم يقوم بإنشاء مجلد باسم "downloads" على محرك الأقراص C:. ويتم ذلك عن طريق تنزيل ملف أرشيف في هذا المجلد، وإعادة تسميته، واستخراج محتوياته (والتي تشمل 'script.a3x' و'AutoIt3.exe')، وتشغيل 'script.a3x' مع 'AutoIt3.exe'.
تعتمد تكتيكات التصيد الاحتيالي حيلًا جديدة
تم اكتشاف حملة التصيد الاحتيالي OneDrive Pastejacking التي تستهدف المستخدمين في جميع أنحاء الولايات المتحدة وكوريا الجنوبية وألمانيا والهند وأيرلندا وإيطاليا والنرويج والمملكة المتحدة.
ويأتي هذا الاكتشاف في أعقاب أبحاث سابقة حول أساليب التصيد الاحتيالي المماثلة، المعروفة باسم ClickFix، والتي أصبحت أكثر شيوعًا.
بالإضافة إلى ذلك، ظهر مخطط جديد للهندسة الاجتماعية يعتمد على البريد الإلكتروني، حيث يقوم بتوزيع ملفات اختصارات Windows المزيفة التي تؤدي إلى تشغيل حمولات ضارة مستضافة على شبكة توصيل المحتوى (CDN) الخاصة بـ Discord.
يستغل المهاجمون الحسابات المشروعة
تستخدم حملات التصيد الاحتيالي بشكل متزايد رسائل البريد الإلكتروني التي تحتوي على روابط إلى Microsoft Office Forms من الحسابات الشرعية المخترقة لخداع الأهداف للكشف عن بيانات اعتماد تسجيل الدخول إلى Microsoft 365 الخاصة بهم. غالبًا ما تتضمن الذريعة استعادة رسائل Outlook.
يقوم المهاجمون بتصميم نماذج مقنعة على Microsoft Office Forms، مع تضمين روابط غير آمنة بداخلها. يتم إرسال هذه النماذج بكميات كبيرة عبر البريد الإلكتروني، متخفية في شكل طلبات مشروعة، مثل تغيير كلمة المرور أو الوصول إلى المستندات المهمة، وغالبًا ما تقلد الأنظمة الأساسية الموثوقة مثل Adobe أو Microsoft SharePoint.
بالإضافة إلى ذلك، استخدمت محاولات التصيد الاحتيالية الأخرى طُعمًا تحت عنوان الفاتورة لإغراء الضحايا بإدخال بيانات الاعتماد الخاصة بهم على صفحات التصيد المستضافة على Cloudflare R2، مع إرسال المعلومات المجمعة إلى المهاجمين عبر روبوت Telegram.
من الواضح أن الخصوم يستكشفون باستمرار طرقًا جديدة لتجاوز بوابات البريد الإلكتروني الآمنة (SEGs) لتعزيز معدل نجاح هجماتهم.
