OneDrive фишинг измама
Експертите по киберсигурност предупредиха за нова фишинг кампания, насочена към потребителите на Microsoft OneDrive. Тази кампания има за цел да внедри вреден скрипт на PowerShell, като използва усъвършенствани техники за социално инженерство, за да подмами потребителите да изпълнят скрипта и да компрометират техните системи. Изследователите наблюдават тази новаторска кампания за фишинг и изтегляне, която те нарекоха OneDrive Pastejacking.
Съдържание
Нападателите имитират OneDrive, за да подмамят жертвите
Атаката започва с имейл, съдържащ HTML файл, който при отваряне представя изображение, имитиращо страница на OneDrive, и показва съобщение за грешка, което гласи: „Неуспешно свързване с облачната услуга „OneDrive“. За да разрешите този проблем, актуализирайте ръчно DNS кеш."
Имейлът предоставя две опции: „Как да коригирам“ и „Подробности“. Връзката „Подробности“ насочва потребителите към истинска страница за обучение на Microsoft за отстраняване на проблеми с DNS.
Щракването върху „Как да коригирам“ обаче води потребителите през поредица от стъпки, които включват натискане на „Windows Key + X“ за достъп до менюто за бърза връзка, отваряне на терминала PowerShell и поставяне на кодирана с Base64 команда, предназначена да коригира проблема.
Тази команда първо изпълнява ipconfig /flushdns, след което създава папка с име „downloads“ на устройството C:. Продължава, като изтегля архивен файл в тази папка, преименува го, извлича съдържанието му (което включва „script.a3x“ и „AutoIt3.exe“) и стартира „script.a3x“ с „AutoIt3.exe“.
Тактиките за фишинг приемат нови трикове
Беше открита фишинг кампанията OneDrive Pastejacking, насочена към потребители в САЩ, Южна Корея, Германия, Индия, Ирландия, Италия, Норвегия и Обединеното кралство
Това откритие следва предишни изследвания на подобни тактики за фишинг, известни като ClickFix, които стават все по-често срещани.
Освен това се появи нова схема за социално инженерство, базирана на имейл, която разпространява фалшиви файлове с преки пътища на Windows, които задействат злонамерени полезни натоварвания, хоствани в мрежата за доставка на съдържание (CDN) на Discord.
Нападателите експлоатират легитимни акаунти
Фишинг кампаниите все повече използват имейли с връзки към Microsoft Office Forms от компрометирани легитимни акаунти, за да подмамят целите да разкрият своите идентификационни данни за влизане в Microsoft 365. Претекстът често включва възстановяване на съобщения в Outlook.
Нападателите проектират убедителни формуляри на Microsoft Office Forms, като вграждат опасни връзки в тях. Тези формуляри се изпращат групово по имейл, маскирайки се като легитимни искания, като промени на парола или достъп до важни документи, често имитиращи надеждни платформи като Adobe или Microsoft SharePoint.
Освен това, други опити за фишинг са използвали примамка на тема фактура, за да примамят жертвите да въведат своите идентификационни данни на фишинг страници, хоствани на Cloudflare R2, като събраната информация се изпраща на нападателите чрез бот на Telegram.
Ясно е, че противниците непрекъснато проучват нови методи за заобикаляне на защитени имейл шлюзове (SEG), за да подобрят степента на успех на своите атаки.
