OneDrive adathalászat
Kiberbiztonsági szakértők figyelmeztettek egy új adathalász kampányra, amely a Microsoft OneDrive felhasználóit célozza meg. Ennek a kampánynak az a célja, hogy egy káros PowerShell-szkriptet telepítsen kifinomult social engineering technikák alkalmazásával, hogy rávegye a felhasználókat a szkript futtatására, és kompromittálja rendszereiket. A kutatók figyelemmel kísérik ezt az innovatív adathalász- és letöltőkampányt, amelyet OneDrive Pastejacking-nek neveztek el.
Tartalomjegyzék
A támadók a OneDrive-ot utánozzák, hogy becsapják az áldozatokat
A támadás egy HTML-fájlt tartalmazó e-maillel kezdődik, amely megnyitásakor egy OneDrive-oldalt utánzó képet jelenít meg, és egy hibaüzenetet jelenít meg: "Nem sikerült csatlakozni a "OneDrive" felhőszolgáltatáshoz. A probléma megoldásához manuálisan frissítse a DNS-t gyorsítótár."
Az e-mail két lehetőséget kínál: „Hogyan javítsam” és „Részletek”. A „Részletek” hivatkozás a felhasználókat a DNS-hibaelhárításról szóló eredeti Microsoft Learn oldalra irányítja.
A „Javítás” lehetőségre kattintva azonban a felhasználók egy sor lépésen keresztül juthatnak el, amelyek magukban foglalják a „Windows Key + X” billentyűkombinációt a Gyorshivatkozás menü eléréséhez, a PowerShell terminál megnyitását és a probléma megoldására szolgáló Base64 kódolású parancs beillesztését.
Ez a parancs először végrehajtja az ipconfig /flushdns parancsot, majd létrehoz egy „downloads” nevű mappát a C: meghajtón. A folyamat során letölt egy archív fájlt ebbe a mappába, átnevezi, kibontja a tartalmát (amelyek közé tartozik a 'script.a3x' és 'AutoIt3.exe'), és a 'script.a3x' fájlt az 'AutoIt3.exe' programmal futtatja.
Az adathalász taktika új trükköket alkalmaz
A OneDrive Pastejacking adathalász kampányt az Egyesült Államokban, Dél-Koreában, Németországban, Indiában, Írországban, Olaszországban, Norvégiában és az Egyesült Királyságban célozták meg.
Ez a felfedezés a hasonló, ClickFix néven ismert adathalász taktikákkal kapcsolatos korábbi kutatásokat követi, amelyek egyre gyakoribbak.
Ezenkívül egy új e-mail-alapú social engineering rendszer jelent meg, amely hamis Windows parancsikonfájlokat terjeszt, amelyek a Discord Content Delivery Network (CDN) hálózatán tárolt rosszindulatú rakományokat indítanak el.
A támadók jogos számlákat használnak ki
Az adathalász kampányok egyre gyakrabban használnak feltört jogos fiókokból származó Microsoft Office Forms-ekre mutató hivatkozásokat tartalmazó e-maileket, hogy a célszemélyeket rávegyék a Microsoft 365 bejelentkezési hitelesítő adataik felfedésére. Az ürügy gyakran az Outlook-üzenetek visszaállítása.
A támadók meggyőző űrlapokat terveznek a Microsoft Office űrlapokon, nem biztonságos hivatkozásokat ágyazva beléjük. Ezeket az űrlapokat tömegesen küldik el e-mailben, jogos kérésnek álcázva őket, például jelszómódosítást vagy fontos dokumentumokhoz való hozzáférést, gyakran olyan megbízható platformokat utánozva, mint az Adobe vagy a Microsoft SharePoint.
Ezen túlmenően, más adathalászati kísérletek számla-témájú csalikkal csalogatták az áldozatokat a hitelesítő adataik megadására a Cloudflare R2-n tárolt adathalász oldalakon, és az összegyűjtött információkat egy Telegram roboton keresztül küldték el a támadóknak.
Nyilvánvaló, hogy az ellenfelek folyamatosan új módszereket kutatnak a Secure Email Gateway (SEG) megkerülésére, hogy növeljék támadásaik sikerességét.
