Απάτη Phishing OneDrive
Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν προειδοποιήσει για μια νέα καμπάνια phishing που στοχεύει χρήστες του Microsoft OneDrive. Αυτή η καμπάνια στοχεύει να αναπτύξει ένα επιβλαβές σενάριο PowerShell χρησιμοποιώντας εξελιγμένες τεχνικές κοινωνικής μηχανικής για να εξαπατήσει τους χρήστες να εκτελέσουν το σενάριο και να θέσουν σε κίνδυνο τα συστήματά τους. Οι ερευνητές παρακολουθούν αυτήν την καινοτόμο καμπάνια phishing και downloader, την οποία έχουν ονομάσει OneDrive Pastejacking.
Πίνακας περιεχομένων
Οι επιτιθέμενοι μιμούνται το OneDrive για να ξεγελάσουν θύματα
Η επίθεση ξεκινά με ένα email που περιέχει ένα αρχείο HTML το οποίο, όταν ανοίξει, παρουσιάζει μια εικόνα που μιμείται μια σελίδα του OneDrive και εμφανίζει ένα μήνυμα σφάλματος που αναφέρει: "Αποτυχία σύνδεσης στην υπηρεσία cloud "OneDrive". Για να επιλύσετε αυτό το ζήτημα, ενημερώστε μη αυτόματα το DNS κρύπτη."
Το email παρέχει δύο επιλογές: «Τρόπος διόρθωσης» και «Λεπτομέρειες». Ο σύνδεσμος "Λεπτομέρειες" κατευθύνει τους χρήστες σε μια γνήσια σελίδα Microsoft Learn για την αντιμετώπιση προβλημάτων DNS.
Ωστόσο, κάνοντας κλικ στην επιλογή "Τρόπος επιδιόρθωσης" οδηγεί τους χρήστες σε μια σειρά βημάτων που περιλαμβάνουν το πάτημα του "Windows Key + X" για πρόσβαση στο μενού Γρήγορης σύνδεσης, άνοιγμα του τερματικού PowerShell και επικόλληση μιας εντολής με κωδικοποίηση Base64 που προορίζεται για την επίλυση του προβλήματος.
Αυτή η εντολή εκτελεί πρώτα το ipconfig /flushdns και, στη συνέχεια, δημιουργεί έναν φάκελο με το όνομα "downloads" στη μονάδα δίσκου C:. Προχωρά κατεβάζοντας ένα αρχείο αρχειοθέτησης σε αυτόν το φάκελο, μετονομάζοντάς το, εξάγοντας τα περιεχόμενά του (τα οποία περιλαμβάνουν τα "script.a3x" και "AutoIt3.exe") και εκτελώντας το "script.a3x" με το "AutoIt3.exe".
Οι τακτικές phishing υιοθετούν νέα κόλπα
Η καμπάνια phishing του OneDrive Pastejacking έχει εντοπιστεί και στοχεύει χρήστες από τις ΗΠΑ, τη Νότια Κορέα, τη Γερμανία, την Ινδία, την Ιρλανδία, την Ιταλία, τη Νορβηγία και το Ηνωμένο Βασίλειο
Αυτή η ανακάλυψη ακολουθεί προηγούμενη έρευνα σχετικά με παρόμοιες τακτικές phishing, γνωστές ως ClickFix, οι οποίες γίνονται όλο και πιο κοινές.
Επιπλέον, εμφανίστηκε ένα νέο πρόγραμμα κοινωνικής μηχανικής που βασίζεται σε email, το οποίο διανέμει πλαστά αρχεία συντομεύσεων των Windows που ενεργοποιούν κακόβουλα ωφέλιμα φορτία που φιλοξενούνται στο Δίκτυο Παράδοσης Περιεχομένου του Discord (CDN).
Οι εισβολείς εκμεταλλεύονται νόμιμους λογαριασμούς
Οι καμπάνιες ηλεκτρονικού ψαρέματος χρησιμοποιούν όλο και περισσότερο μηνύματα ηλεκτρονικού ταχυδρομείου με συνδέσμους προς Φόρμες του Microsoft Office από παραβιασμένους νόμιμους λογαριασμούς για να εξαπατήσουν στόχους ώστε να αποκαλύψουν τα διαπιστευτήρια σύνδεσής τους στο Microsoft 365. Το πρόσχημα συχνά περιλαμβάνει την επαναφορά μηνυμάτων του Outlook.
Οι εισβολείς σχεδιάζουν πειστικές φόρμες σε Φόρμες του Microsoft Office, ενσωματώνοντας μη ασφαλείς συνδέσμους μέσα σε αυτές. Αυτές οι φόρμες αποστέλλονται μαζικά μέσω email, μεταμφιεσμένοι σε νόμιμα αιτήματα, όπως αλλαγές κωδικού πρόσβασης ή πρόσβαση σε σημαντικά έγγραφα, συχνά μιμούμενοι αξιόπιστες πλατφόρμες όπως η Adobe ή το Microsoft SharePoint.
Επιπλέον, άλλες προσπάθειες phishing έχουν χρησιμοποιήσει δόλωμα με θέμα τιμολόγια για να παρασύρουν τα θύματα να εισάγουν τα διαπιστευτήριά τους σε σελίδες phishing που φιλοξενούνται στο Cloudflare R2, με τις πληροφορίες που συλλέγονται να αποστέλλονται στους εισβολείς μέσω ενός bot Telegram.
Είναι σαφές ότι οι αντίπαλοι διερευνούν συνεχώς νέες μεθόδους για να παρακάμψουν τις ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEG) για να βελτιώσουν το ποσοστό επιτυχίας των επιθέσεών τους.
