OneDrive phishingový podvod
Odborníci na kybernetickou bezpečnost varovali před novou phishingovou kampaní zaměřenou na uživatele Microsoft OneDrive. Tato kampaň si klade za cíl nasadit škodlivý skript PowerShell pomocí sofistikovaných technik sociálního inženýrství, které mají uživatele přimět ke spuštění skriptu a kompromitaci jejich systémů. Výzkumníci sledují tuto inovativní kampaň proti phishingu a stahování, kterou nazvali OneDrive Pastejacking.
Obsah
Útočníci napodobují OneDrive, aby oklamali oběti
Útok začíná e-mailem obsahujícím soubor HTML, který po otevření zobrazí obrázek napodobující stránku OneDrive a zobrazí chybovou zprávu: „Nepodařilo se připojit ke cloudové službě „OneDrive“. Chcete-li tento problém vyřešit, ručně aktualizujte DNS mezipaměti."
E-mail poskytuje dvě možnosti: „Jak opravit“ a „Podrobnosti“. Odkaz „Podrobnosti“ nasměruje uživatele na skutečnou stránku Microsoft Learn o odstraňování problémů s DNS.
Kliknutím na „Jak opravit“ však uživatelé provedou řadu kroků, které zahrnují stisknutí klávesy „Windows Key + X“ pro přístup k nabídce Rychlý odkaz, otevření terminálu PowerShell a vložení příkazu zakódovaného v Base64, který má problém vyřešit.
Tento příkaz nejprve spustí ipconfig /flushdns a poté vytvoří složku s názvem 'downloads' na disku C:. Pokračuje stažením archivního souboru do této složky, jeho přejmenováním, rozbalením jeho obsahu (který zahrnuje 'script.a3x' a 'AutoIt3.exe') a spuštěním 'script.a3x' s 'AutoIt3.exe'.
Phishingové taktiky si osvojují nové triky
Byla zjištěna phishingová kampaň OneDrive Pastejacking, která cílí na uživatele v USA, Jižní Koreji, Německu, Indii, Irsku, Itálii, Norsku a Spojeném království.
Tento objev navazuje na předchozí výzkum podobných phishingových taktik, známých jako ClickFix, které jsou stále běžnější.
Kromě toho se objevilo nové schéma sociálního inženýrství založené na e-mailu, které distribuuje falešné soubory zástupců Windows, které spouštějí škodlivé užitečné zatížení hostované na Discord's Content Delivery Network (CDN).
Útočníci využívají legitimní účty
Phishingové kampaně stále častěji využívají e-maily s odkazy na Microsoft Office Forms z napadených legitimních účtů, aby přiměly cíle k odhalení jejich přihlašovacích údajů k Microsoft 365. Záminka často zahrnuje obnovení zpráv aplikace Outlook.
Útočníci navrhují přesvědčivé formuláře na formulářích Microsoft Office Forms a vkládají do nich nebezpečné odkazy. Tyto formuláře se odesílají hromadně e-mailem, maskují se jako legitimní požadavky, jako jsou změny hesla nebo přístup k důležitým dokumentům, často napodobující důvěryhodné platformy, jako je Adobe nebo Microsoft SharePoint.
Další pokusy o phishing navíc využívaly návnadu na téma faktur, aby nalákaly oběti, aby zadaly své přihlašovací údaje na phishingových stránkách hostovaných na Cloudflare R2, přičemž shromážděné informace byly útočníkům zaslány prostřednictvím robota Telegram.
Je jasné, že protivníci neustále zkoumají nové metody, jak obejít zabezpečené e-mailové brány (SEG), aby zvýšili úspěšnost svých útoků.
