הונאת דיוג של OneDrive
מומחי אבטחת סייבר הזהירו מפני קמפיין דיוג חדש המכוון למשתמשי Microsoft OneDrive. מסע פרסום זה נועד לפרוס סקריפט PowerShell מזיק על ידי שימוש בטכניקות הנדסה חברתית מתוחכמות כדי להערים על משתמשים להפעיל את הסקריפט ולסכן את המערכות שלהם. החוקרים עוקבים אחר מסע הדיוג וההורדה החדשני הזה, אותו הם כינו OneDrive Pastejacking.
תוכן העניינים
התוקפים מחקים את OneDrive כדי להערים על קורבנות
המתקפה מתחילה בהודעת דואר אלקטרוני המכיל קובץ HTML שכאשר הוא נפתח, מציג תמונה המחקה דף OneDrive ומציגה הודעת שגיאה המציינת: "נכשל בחיבור לשירות הענן 'OneDrive'. כדי לפתור בעיה זו, עדכן את ה-DNS באופן ידני. מטמון."
האימייל מספק שתי אפשרויות: 'כיצד לתקן' ו'פרטים'. הקישור 'פרטים' מפנה את המשתמשים לדף Learn מקורי של Microsoft בנושא פתרון בעיות DNS.
עם זאת, לחיצה על 'כיצד לתקן' מובילה את המשתמשים לסדרה של שלבים הכוללים לחיצה על 'מקש Windows + X' כדי לגשת לתפריט הקישור המהיר, פתיחת מסוף PowerShell והדבקת פקודה מקודדת Base64 שנועדה לתקן את הבעיה.
פקודה זו תחילה מבצעת את ipconfig /flushdns, ולאחר מכן יוצרת תיקיה בשם 'הורדות' בכונן C:. הוא ממשיך על ידי הורדת קובץ ארכיון לתיקיה זו, שינוי שמה, חילוץ תוכנו (הכולל 'script.a3x' ו-'AutoIt3.exe'), והפעלת 'script.a3x' עם 'AutoIt3.exe'.
טקטיקות דיוג מאמצות טריקים חדשים
מסע הפרסום של OneDrive Pastejacking פישינג זוהה המכוון למשתמשים ברחבי ארה"ב, דרום קוריאה, גרמניה, הודו, אירלנד, איטליה, נורבגיה ובריטניה
תגלית זו באה בעקבות מחקרים קודמים על טקטיקות דיוג דומות, הידועות בשם ClickFix, שהופכות נפוצות יותר.
בנוסף, נוצרה תוכנית חדשה מבוססת אימייל של הנדסה חברתית, המפיצה קבצי קיצור מזויפים של Windows המפעילים עומסים זדוניים המתארחים ברשת המסירה של תוכן (CDN) של Discord.
התוקפים מנצלים חשבונות לגיטימיים
מסעות פרסום של פישינג משתמשים יותר ויותר בדוא"ל עם קישורים ל-Microsoft Office Forms מחשבונות לגיטימיים שנפגעו כדי להערים על יעדים לחשוף את פרטי הכניסה שלהם ל-Microsoft 365. העילה כוללת לעתים קרובות שחזור הודעות Outlook.
תוקפים מעצבים טפסים משכנעים ב-Microsoft Office Forms, ומטמיעים בתוכם קישורים לא בטוחים. טפסים אלה נשלחים בכמות גדולה באמצעות דואר אלקטרוני, כשהם מתחפשים לבקשות לגיטימיות, כגון שינויי סיסמאות או גישה למסמכים חשובים, ולעתים קרובות מחקים פלטפורמות מהימנות כמו Adobe או Microsoft SharePoint.
בנוסף, ניסיונות פישינג אחרים השתמשו בפיתיון בנושא חשבונית כדי לפתות קורבנות להזין את האישורים שלהם בדפי פישינג המתארחים ב-Cloudflare R2, כשהמידע שנאסף נשלח לתוקפים באמצעות בוט של טלגרם.
ברור שיריבים בוחנים ללא הרף שיטות חדשות לעקוף שערים מאובטחים לדוא"ל (SEG) כדי לשפר את שיעור ההצלחה של ההתקפות שלהם.
