OneDrive Phishing Estafa
Els experts en ciberseguretat han advertit sobre una nova campanya de pesca dirigida als usuaris de Microsoft OneDrive. Aquesta campanya pretén desplegar un script de PowerShell nociu mitjançant l'ús de tècniques d'enginyeria social sofisticades per enganyar els usuaris perquè executin l'script i comprometin els seus sistemes. Els investigadors estan supervisant aquesta innovadora campanya de pesca i descàrrega, que han batejat com OneDrive Pastejacking.
Taula de continguts
Els atacants imiten OneDrive per enganyar les víctimes
L'atac comença amb un correu electrònic que conté un fitxer HTML que, quan s'obre, presenta una imatge que imita una pàgina de OneDrive i mostra un missatge d'error que indica: "No s'ha pogut connectar al servei al núvol "OneDrive". Per resoldre aquest problema, actualitzeu manualment el DNS. memòria cau".
El correu electrònic ofereix dues opcions: "Com solucionar-ho" i "Detalls". L'enllaç "Detalls" dirigeix els usuaris a una pàgina de Microsoft Learn genuïna sobre la resolució de problemes de DNS.
Tanmateix, fer clic a "Com solucionar-ho" condueix als usuaris a través d'una sèrie de passos que impliquen prémer "Tecla Windows + X" per accedir al menú Enllaç ràpid, obrir el terminal PowerShell i enganxar una ordre codificada en Base64 destinada a solucionar el problema.
Aquesta ordre primer executa ipconfig /flushdns i després crea una carpeta anomenada "descàrregues" a la unitat C:. Continua baixant un fitxer d'arxiu a aquesta carpeta, canviant-ne el nom, extreu-ne el contingut (que inclou "script.a3x" i "AutoIt3.exe") i executant "script.a3x" amb "AutoIt3.exe".
Les tàctiques de pesca estan adoptant nous trucs
S'ha detectat la campanya de pesca de pesca OneDrive Pastejacking dirigida a usuaris dels EUA, Corea del Sud, Alemanya, Índia, Irlanda, Itàlia, Noruega i el Regne Unit
Aquest descobriment segueix investigacions anteriors sobre tàctiques de pesca similars, conegudes com ClickFix, que són cada cop més habituals.
A més, ha sorgit un nou esquema d'enginyeria social basat en correu electrònic, que distribueix fitxers de drecera falsos de Windows que desencadenen càrregues útils malicioses allotjades a la xarxa de lliurament de contingut (CDN) de Discord.
Els atacants són comptes legítims d’explotació
Les campanyes de pesca utilitzen cada cop més correus electrònics amb enllaços a formularis de Microsoft Office des de comptes legítims compromesos per enganyar els objectius perquè revelin les seves credencials d'inici de sessió de Microsoft 365. El pretext sovint implica restaurar missatges d'Outlook.
Els atacants dissenyen formularis convincents als formularis de Microsoft Office, incrussant-hi enllaços no segurs. Aquests formularis s'envien massivament per correu electrònic, dissimulant-se com a sol·licituds legítimes, com ara canvis de contrasenya o accés a documents importants, sovint imitant plataformes de confiança com Adobe o Microsoft SharePoint.
A més, altres intents de pesca han utilitzat esquers temàtics de factura per atraure les víctimes a introduir les seves credencials a les pàgines de pesca allotjades a Cloudflare R2, i la informació recollida s'envia als atacants mitjançant un bot de Telegram.
Està clar que els adversaris estan explorant contínuament nous mètodes per evitar les passarel·les de correu electrònic segurs (SEG) per millorar la taxa d'èxit dels seus atacs.
