کلاهبرداری فیشینگ OneDrive

کارشناسان امنیت سایبری در مورد یک کمپین فیشینگ جدید که کاربران مایکروسافت OneDrive را هدف قرار می دهد، هشدار داده اند. هدف این کمپین استقرار یک اسکریپت مضر PowerShell با استفاده از تکنیک‌های پیچیده مهندسی اجتماعی برای فریب دادن کاربران به اجرای اسکریپت و به خطر انداختن سیستم‌هایشان است. محققان در حال نظارت بر این کمپین ابتکاری فیشینگ و بارگیری هستند که آن را OneDrive Pastejacking نامیده اند.

مهاجمان از OneDrive تقلید می کنند تا قربانیان را فریب دهند

حمله با یک ایمیل حاوی یک فایل HTML شروع می‌شود که پس از باز شدن، تصویری شبیه به صفحه OneDrive را نشان می‌دهد و پیام خطایی را نشان می‌دهد که می‌گوید: "اتصال به سرویس ابری "OneDrive" انجام نشد. برای حل این مشکل، DNS را به‌صورت دستی به‌روزرسانی کنید. کش."

ایمیل دو گزینه را ارائه می دهد: "چگونه رفع کنیم" و "جزئیات". پیوند «جزئیات» کاربران را به صفحه اصلی Microsoft Learn در عیب‌یابی DNS هدایت می‌کند.

با این حال، کلیک کردن روی «چگونه رفع شود» کاربران را به یک سری مراحل هدایت می‌کند که شامل فشار دادن «کلید ویندوز + X» برای دسترسی به منوی پیوند سریع، باز کردن ترمینال PowerShell و چسباندن یک دستور با کد Base64 برای رفع مشکل است.

این دستور ابتدا ipconfig /flushdns را اجرا می‌کند، سپس پوشه‌ای به نام «downloads» در درایو C: ایجاد می‌کند. با دانلود یک فایل آرشیو در این پوشه، تغییر نام آن، استخراج محتویات آن (که شامل 'script.a3x' و 'AutoIt3.exe') و اجرای 'script.a3x' با 'AutoIt3.exe' ادامه می یابد.

تاکتیک های فیشینگ ترفندهای جدیدی را اتخاذ می کنند

کمپین فیشینگ OneDrive Pastejacking شناسایی شده است که کاربران را در سراسر ایالات متحده، کره جنوبی، آلمان، هند، ایرلند، ایتالیا، نروژ و بریتانیا هدف قرار داده است.

این کشف به دنبال تحقیقات قبلی در مورد تاکتیک‌های فیشینگ مشابه، معروف به ClickFix، انجام می‌شود که رایج‌تر می‌شوند.

علاوه بر این، یک طرح مهندسی اجتماعی مبتنی بر ایمیل جدید ظهور کرده است که فایل‌های میانبر جعلی ویندوز را توزیع می‌کند که بارهای مخرب میزبانی شده در شبکه تحویل محتوای Discord (CDN) را راه‌اندازی می‌کند.

مهاجمان از حساب های قانونی سوء استفاده می کنند

کمپین‌های فیشینگ به طور فزاینده‌ای از ایمیل‌هایی با پیوندهایی به فرم‌های مایکروسافت آفیس از حساب‌های قانونی در معرض خطر استفاده می‌کنند تا هدف‌ها را فریب دهند تا اعتبار ورود به سیستم Microsoft 365 خود را فاش کنند. این بهانه اغلب شامل بازیابی پیام های Outlook است.

مهاجمان فرم‌های قانع‌کننده‌ای را روی فرم‌های مایکروسافت آفیس طراحی می‌کنند و پیوندهای ناامن را درون آن‌ها تعبیه می‌کنند. این فرم‌ها به صورت انبوه از طریق ایمیل ارسال می‌شوند، به عنوان درخواست‌های قانونی، مانند تغییر رمز عبور یا دسترسی به اسناد مهم، اغلب با تقلید از پلتفرم‌های مورد اعتماد مانند Adobe یا Microsoft SharePoint، ظاهر می‌شوند.

به‌علاوه، سایر تلاش‌های فیشینگ از طعمه‌ای با مضمون فاکتور استفاده کرده‌اند تا قربانیان را فریب دهند تا اعتبار خود را در صفحات فیشینگ میزبانی شده در Cloudflare R2 وارد کنند و اطلاعات جمع‌آوری‌شده از طریق ربات تلگرام برای مهاجمان ارسال می‌شود.

واضح است که دشمنان به طور مداوم روش‌های جدیدی را برای دور زدن دروازه‌های ایمیل امن (SEG) جستجو می‌کنند تا میزان موفقیت حملات خود را افزایش دهند.