OneDrive-tietojenkalasteluhuijaus
Kyberturvallisuusasiantuntijat ovat varoittaneet uudesta tietojenkalastelukampanjasta, joka on kohdistettu Microsoft OneDrive -käyttäjiin. Tämän kampanjan tarkoituksena on ottaa käyttöön haitallinen PowerShell-skripti käyttämällä kehittyneitä sosiaalisen manipuloinnin tekniikoita huijatakseen käyttäjiä suorittamaan komentosarjaa ja vaarantamaan järjestelmiään. Tutkijat seuraavat tätä innovatiivista tietojenkalastelu- ja latauskampanjaa, jonka he ovat nimenneet OneDrive Pastejackingiksi.
Sisällysluettelo
Hyökkääjät jäljittelevät OneDrivea huijatakseen uhreja
Hyökkäys alkaa sähköpostilla, joka sisältää HTML-tiedoston, joka avattaessa näyttää OneDrive-sivua jäljittelevän kuvan ja näyttää virheilmoituksen: "Yhteyden muodostaminen OneDrive-pilvipalveluun epäonnistui. Voit ratkaista tämän ongelman päivittämällä DNS-palvelimen manuaalisesti. kätkö."
Sähköpostissa on kaksi vaihtoehtoa: "Kuinka korjata" ja "Tiedot". 'Tiedot'-linkki ohjaa käyttäjät aidolle Microsoft Learn -sivulle DNS-vianmääritykseen.
Korjaus-kohdan napsauttaminen johtaa kuitenkin käyttäjät useiden vaiheiden läpi, joihin kuuluu Windows-näppäin + X-näppäinten painaminen päästäksesi Quick Link -valikkoon, avaamalla PowerShell-pääte ja liittämällä Base64-koodatun komennon, jonka tarkoituksena on korjata ongelma.
Tämä komento suorittaa ensin ipconfig /flushdns ja luo sitten kansion nimeltä "lataukset" C:-asemaan. Se etenee lataamalla arkistotiedosto tähän kansioon, nimeämällä se uudelleen, purkamalla sen sisällön (joihin kuuluvat "script.a3x" ja "AutoIt3.exe") ja suorittamalla "script.a3x" ja "AutoIt3.exe".
Tietojenkalastelutaktiikat omaksuvat uusia temppuja
OneDrive Pastejacking -phishing-kampanja on havaittu kohdistuneen käyttäjiin Yhdysvalloissa, Etelä-Koreassa, Saksassa, Intiassa, Irlannissa, Italiassa, Norjassa ja Isossa-Britanniassa.
Tämä löytö seuraa aiempaa tutkimusta samankaltaisista kalastelutaktiikoista, jotka tunnetaan nimellä ClickFix ja jotka ovat yleistymässä.
Lisäksi on ilmaantunut uusi sähköpostipohjainen sosiaalisen manipuloinnin järjestelmä, joka jakaa väärennettyjä Windows-pikakuvakkeita, jotka laukaisevat haitallisia hyötykuormia, joita isännöidään Discordin sisällönjakeluverkossa (CDN).
Hyökkääjät käyttävät hyväkseen laillisia tilejä
Tietojenkalastelukampanjat käyttävät yhä useammin sähköposteja, joissa on linkkejä Microsoft Office Forms -lomakkeisiin vaarantuneista laillisista tileistä huijatakseen kohteita paljastamaan Microsoft 365 -kirjautumistietonsa. Verukkeena on usein Outlook-viestien palauttaminen.
Hyökkääjät suunnittelevat vakuuttavia lomakkeita Microsoft Office Formsilla ja upottavat niihin vaarallisia linkkejä. Nämä lomakkeet lähetetään joukkona sähköpostitse, ja ne naamioituvat laillisiksi pyynnöiksi, kuten salasanan vaihtamiseksi tai tärkeiden asiakirjojen käyttämiseksi, usein jäljittelemällä luotettavia alustoja, kuten Adobe tai Microsoft SharePointi.
Lisäksi muut tietojenkalasteluyritykset ovat käyttäneet laskuteemaista syöttiä houkutellakseen uhreja syöttämään valtuustietonsa Cloudflare R2:ssa isännöidyillä tietojenkalastelusivuilla, ja kerätyt tiedot on lähetetty hyökkääjille Telegram-botin kautta.
On selvää, että vastustajat etsivät jatkuvasti uusia menetelmiä ohittaakseen suojatut sähköpostiyhdyskäytävät (SEG) hyökkäystensa onnistumisasteen parantamiseksi.
