Truffa di phishing su OneDrive
Gli esperti di sicurezza informatica hanno messo in guardia da una nuova campagna di phishing rivolta agli utenti di Microsoft OneDrive. Questa campagna mira a distribuire uno script PowerShell dannoso impiegando sofisticate tecniche di ingegneria sociale per indurre gli utenti a eseguire lo script e compromettere i loro sistemi. I ricercatori stanno monitorando questa innovativa campagna di phishing e downloader, che hanno soprannominato OneDrive Pastejacking.
Sommario
Gli aggressori imitano OneDrive per ingannare le vittime
L'attacco inizia con un'e-mail contenente un file HTML che, una volta aperto, presenta un'immagine che imita una pagina OneDrive e visualizza un messaggio di errore che indica: "Impossibile connettersi al servizio cloud 'OneDrive'. Per risolvere questo problema, aggiornare manualmente il DNS cache."
L'email fornisce due opzioni: "Come risolvere" e "Dettagli". Il collegamento "Dettagli" indirizza gli utenti a una pagina Microsoft Learn autentica sulla risoluzione dei problemi DNS.
Tuttavia, facendo clic su "Come risolvere" gli utenti vengono guidati attraverso una serie di passaggi che implicano la pressione di "Tasto Windows + X" per accedere al menu Collegamento rapido, l'apertura del terminale PowerShell e l'incollaggio di un comando con codifica Base64 destinato a risolvere il problema.
Questo comando esegue prima ipconfig /flushdns, quindi crea una cartella denominata "downloads" sull'unità C:. Procede scaricando un file di archivio in questa cartella, rinominandolo, estraendone il contenuto (che include "script.a3x" e "AutoIt3.exe") ed eseguendo "script.a3x" con "AutoIt3.exe".
Le tattiche di phishing stanno adottando nuovi trucchi
È stata rilevata la campagna di phishing OneDrive Pastejacking che prendeva di mira utenti negli Stati Uniti, Corea del Sud, Germania, India, Irlanda, Italia, Norvegia e Regno Unito
Questa scoperta fa seguito a ricerche precedenti su tattiche di phishing simili, note come ClickFix, che stanno diventando sempre più comuni.
Inoltre, è emerso un nuovo schema di ingegneria sociale basato sulla posta elettronica, che distribuisce falsi file di collegamento di Windows che attivano payload dannosi ospitati sulla rete di distribuzione dei contenuti (CDN) di Discord.
Gli aggressori sfruttano account legittimi
Le campagne di phishing utilizzano sempre più e-mail con collegamenti a Microsoft Office Forms provenienti da account legittimi compromessi per indurre gli obiettivi a rivelare le proprie credenziali di accesso a Microsoft 365. Il pretesto spesso implica il ripristino dei messaggi di Outlook.
Gli aggressori progettano moduli convincenti su Microsoft Office Forms, incorporando al loro interno collegamenti non sicuri. Questi moduli vengono inviati in massa via e-mail, mascherati da richieste legittime, come la modifica della password o l'accesso a documenti importanti, spesso imitando piattaforme affidabili come Adobe o Microsoft SharePoint.
Inoltre, altri tentativi di phishing hanno utilizzato esche a tema fattura per indurre le vittime a inserire le proprie credenziali su pagine di phishing ospitate su Cloudflare R2, con le informazioni raccolte inviate agli aggressori tramite un bot di Telegram.
È chiaro che gli avversari esplorano continuamente nuovi metodi per aggirare i Secure Email Gateway (SEG) e aumentare il tasso di successo dei loro attacchi.
