OneDrive’i andmepüügipettus
Küberturvalisuse eksperdid on hoiatanud uue andmepüügikampaania eest, mis on suunatud Microsoft OneDrive'i kasutajatele. Selle kampaania eesmärk on juurutada kahjulik PowerShelli skript, kasutades keerukaid sotsiaalse manipuleerimise tehnikaid, et meelitada kasutajaid skripti käivitama ja oma süsteeme ohtu seadma. Teadlased jälgivad seda uuenduslikku andmepüügi- ja allalaadimiskampaaniat, mille nad on nimetanud OneDrive Pastejackinguks.
Sisukord
Ründajad jäljendavad ohvrite petmiseks OneDrive'i
Rünnak algab meiliga, mis sisaldab HTML-faili, mille avamisel kuvatakse OneDrive'i lehte jäljendav pilt ja kuvatakse tõrketeade: "OneDrive'i pilveteenusega ühenduse loomine ebaõnnestus. Selle probleemi lahendamiseks värskendage DNS-i käsitsi vahemälu."
Meil on kaks võimalust: „Kuidas parandada” ja „Üksikasjad”. Link „Üksikasjad” suunab kasutajad DNS-i tõrkeotsingu ehtsale Microsoft Learni lehele.
Kui aga klõpsate nupul „Kuidas parandada”, viib kasutajad läbi rea samme, mis hõlmavad kiirlingimenüüsse sisenemiseks klahvikombinatsiooni Windows Key + X vajutamist, PowerShelli terminali avamist ja Base64-kodeeritud käsu kleepimist, mis on mõeldud probleemi lahendamiseks.
See käsk käivitab esmalt ipconfig /flushdns, seejärel loob C: draivile kausta nimega 'allalaadimised'. Seejärel laaditakse sellesse kausta alla arhiivifail, nimetatakse see ümber, ekstraheeritakse selle sisu (sealhulgas script.a3x ja AutoIt3.exe) ning käivitatakse script.a3x koos kaustaga AutoIt3.exe.
Andmepüügitaktikad võtavad kasutusele uusi nippe
On tuvastatud OneDrive Pastejacking andmepüügikampaania, mis sihib kasutajaid USA-s, Lõuna-Koreas, Saksamaal, Indias, Iirimaal, Itaalias, Norras ja Ühendkuningriigis
See avastus järgneb varasematele uuringutele sarnaste andmepüügitaktikate kohta, mida nimetatakse ClickFixiks ja mis on muutumas üha tavalisemaks.
Lisaks on ilmnenud uus e-postipõhine sotsiaalse manipuleerimise skeem, mis levitab võltsitud Windowsi otseteefaile, mis käivitavad Discordi sisu edastamise võrgus (CDN) hostitud pahatahtlikud koormused.
Ründajad kasutavad seaduslikke kontosid
Andmepüügikampaaniad kasutavad üha enam e-kirju, mis sisaldavad Microsoft Office'i vormide linke ohustatud seaduslikelt kontodelt, et meelitada sihtmärke avaldama oma Microsoft 365 sisselogimismandaate. Ettekäändeks on sageli Outlooki sõnumite taastamine.
Ründajad kujundavad Microsoft Office Formsis veenvaid vorme, manustades neisse ebaturvalisi linke. Neid vorme saadetakse hulgi e-posti teel, maskeerides seaduslike taotlustena, nagu parooli muutmine või juurdepääs olulistele dokumentidele, sageli imiteerides usaldusväärseid platvorme, nagu Adobe või Microsoft SharePoint.
Lisaks on muude andmepüügikatsete puhul kasutatud arveteemalist sööta, et meelitada ohvreid Cloudflare R2-s hostitud andmepüügilehtedel oma mandaate sisestama, kusjuures kogutud teave saadetakse ründajatele Telegrami roboti kaudu.
On selge, et vastased uurivad pidevalt uusi meetodeid, kuidas turvalistest e-posti lüüsidest (SEG) mööda hiilida, et suurendada oma rünnakute edukust.
