OneDrive Phishing-svindel
Cybersikkerhedseksperter har advaret om en ny phishing-kampagne rettet mod Microsoft OneDrive-brugere. Denne kampagne har til formål at implementere et skadeligt PowerShell-script ved at anvende sofistikerede social engineering-teknikker til at narre brugere til at køre scriptet og kompromittere deres systemer. Forskerne overvåger denne innovative phishing- og downloadkampagne, som de har døbt OneDrive Pastejacking.
Indholdsfortegnelse
Angriberne imiterer OneDrive for at narre ofre
Angrebet starter med en e-mail, der indeholder en HTML-fil, der, når den åbnes, præsenterer et billede, der efterligner en OneDrive-side og viser en fejlmeddelelse, der siger: "Kunnede ikke oprette forbindelse til 'OneDrive'-skytjenesten. For at løse dette problem skal du manuelt opdatere DNS'en cache."
E-mailen indeholder to muligheder: "Sådan løser du problemet" og "Detaljer". Linket 'Detaljer' leder brugerne til en ægte Microsoft Learn-side om DNS-fejlfinding.
Men ved at klikke på 'Sådan løser du' fører brugerne gennem en række trin, der involverer at trykke på 'Windows-tast + X' for at få adgang til menuen Quick Link, åbne PowerShell-terminalen og indsætte en Base64-kodet kommando beregnet til at løse problemet.
Denne kommando udfører først ipconfig /flushdns og opretter derefter en mappe med navnet 'downloads' på C:-drevet. Det fortsætter ved at downloade en arkivfil til denne mappe, omdøbe den, udpakke dens indhold (som inkluderer 'script.a3x' og 'AutoIt3.exe') og køre 'script.a3x' med 'AutoIt3.exe'.
Phishing-taktik vedtager nye tricks
OneDrive Pastejacking phishing-kampagnen er blevet opdaget målrettet mod brugere i hele USA, Sydkorea, Tyskland, Indien, Irland, Italien, Norge og Storbritannien
Denne opdagelse følger tidligere forskning om lignende phishing-taktikker, kendt som ClickFix, som bliver mere almindelige.
Derudover er der opstået en ny e-mail-baseret social engineering-ordning, som distribuerer falske Windows-genvejsfiler, der udløser ondsindede nyttelaster hostet på Discords Content Delivery Network (CDN).
Angriberne udnytter legitime konti
Phishing-kampagner bruger i stigende grad e-mails med links til Microsoft Office-formularer fra kompromitterede legitime konti for at narre mål til at afsløre deres Microsoft 365-loginoplysninger. Påskuddet involverer ofte gendannelse af Outlook-meddelelser.
Angribere designer overbevisende formularer på Microsoft Office Forms og indlejrer usikre links i dem. Disse formularer sendes i bulk via e-mail, forklædt som legitime anmodninger, såsom ændringer af adgangskode eller adgang til vigtige dokumenter, som ofte efterligner pålidelige platforme som Adobe eller Microsoft SharePoint.
Derudover har andre phishing-forsøg brugt agn med fakturatema for at lokke ofre til at indtaste deres legitimationsoplysninger på phishing-sider hostet på Cloudflare R2, hvor den indsamlede information sendes til angriberne via en Telegram-bot.
Det er tydeligt, at modstandere løbende udforsker nye metoder til at omgå Secure Email Gateways (SEG'er) for at øge succesraten for deres angreb.
