OneDrive phishing prijevara
Stručnjaci za kibernetičku sigurnost upozorili su na novu phishing kampanju usmjerenu na korisnike Microsoft OneDrivea. Ova kampanja ima za cilj implementaciju štetne PowerShell skripte upotrebom sofisticiranih tehnika društvenog inženjeringa kako bi prevarila korisnike da pokrenu skriptu i kompromitiraju svoje sustave. Istraživači prate ovu inovativnu kampanju krađe identiteta i preuzimanja koju su nazvali OneDrive Pastejacking.
Sadržaj
Napadači imitiraju OneDrive kako bi prevarili žrtve
Napad započinje e-poštom koja sadrži HTML datoteku koja, kada se otvori, prikazuje sliku koja oponaša OneDrive stranicu i prikazuje poruku o pogrešci koja glasi: "Nije uspjelo povezivanje s 'OneDrive' cloud uslugom. Da biste riješili ovaj problem, ručno ažurirajte DNS predmemorija."
E-poruka nudi dvije opcije: "Kako popraviti" i "Detalji". Veza 'Detalji' usmjerava korisnike na izvornu Microsoftovu stranicu za učenje o rješavanju problema s DNS-om.
Međutim, klik na "Kako popraviti" vodi korisnike kroz niz koraka koji uključuju pritisak na "Windows tipku + X" za pristup izborniku Quick Link, otvaranje PowerShell terminala i lijepljenje Base64-kodirane naredbe namijenjene rješavanju problema.
Ova naredba prvo izvršava ipconfig /flushdns, zatim stvara mapu pod nazivom 'downloads' na pogonu C:. Nastavlja preuzimanjem arhivske datoteke u ovu mapu, preimenovanjem, izdvajanjem sadržaja (koji uključuje 'script.a3x' i 'AutoIt3.exe') i pokretanjem 'script.a3x' s 'AutoIt3.exe'.
Taktike krađe identiteta usvajaju nove trikove
OneDrive Pastejacking phishing kampanja je otkrivena kako cilja korisnike diljem SAD-a, Južne Koreje, Njemačke, Indije, Irske, Italije, Norveške i UK-a
Ovo otkriće slijedi prijašnja istraživanja sličnih taktika krađe identiteta, poznatih kao ClickFix, koje su sve češće.
Dodatno, pojavila se nova shema društvenog inženjeringa temeljena na e-pošti, koja distribuira lažne Windows datoteke prečaca koje pokreću zlonamjerne korisničke sadržaje smještene na Discordovoj mreži za isporuku sadržaja (CDN).
Napadači iskorištavaju legitimne račune
Kampanje za krađu identiteta sve više koriste e-poštu s vezama na Microsoft Office Forms s kompromitiranih legitimnih računa kako bi prevarile mete da otkriju svoje Microsoft 365 vjerodajnice za prijavu. Izlika često uključuje vraćanje Outlook poruka.
Napadači dizajniraju uvjerljive obrasce na Microsoft Office Forms, ugrađujući nesigurne poveznice unutar njih. Ti se obrasci šalju skupno putem e-pošte, maskirajući se kao legitimni zahtjevi, kao što su promjene lozinke ili pristup važnim dokumentima, često oponašajući pouzdane platforme poput Adobea ili Microsoft SharePointa.
Osim toga, drugi pokušaji krađe identiteta koristili su mamac na temu fakture kako bi namamili žrtve da unesu svoje vjerodajnice na stranicama za krađu identiteta hostiranim na Cloudflare R2, a prikupljene informacije šalju se napadačima putem Telegram bota.
Jasno je da protivnici neprestano istražuju nove metode za zaobilaženje sigurnih pristupnika e-pošte (SEG) kako bi povećali stopu uspjeha svojih napada.
