OneDrive 피싱 사기

사이버 보안 전문가들은 Microsoft OneDrive 사용자를 표적으로 삼는 새로운 피싱 캠페인에 대해 경고했습니다. 이 캠페인의 목표는 정교한 사회 공학 기술을 사용하여 사용자를 속여 스크립트를 실행하고 시스템을 손상시키는 방식으로 유해한 PowerShell 스크립트를 배포하는 것입니다. 연구원들은 OneDrive Pastejacking이라고 명명된 이 혁신적인 피싱 및 다운로더 캠페인을 모니터링하고 있습니다.

공격자들은 피해자를 속이기 위해 OneDrive를 모방합니다.

공격은 HTML 파일이 포함된 이메일로 시작됩니다. 이 파일을 열면 OneDrive 페이지를 모방한 이미지가 표시되고 다음과 같은 오류 메시지가 표시됩니다. "'OneDrive' 클라우드 서비스에 연결하지 못했습니다. 이 문제를 해결하려면 DNS를 수동으로 업데이트하세요. 은닉처."

이메일에는 '수정 방법'과 '세부정보'라는 두 가지 옵션이 제공됩니다. '세부 정보' 링크는 사용자를 DNS 문제 해결에 대한 정품 Microsoft Learn 페이지로 안내합니다.

그러나 '수정 방법'을 클릭하면 'Windows 키 + X'를 눌러 빠른 링크 메뉴에 액세스하고, PowerShell 터미널을 열고, 문제 해결을 위한 Base64 인코딩 명령을 붙여넣는 일련의 단계를 거치게 됩니다.

이 명령은 먼저 ipconfig /flushdns를 실행한 다음 C: 드라이브에 'downloads'라는 폴더를 생성합니다. 이 폴더에 아카이브 파일을 다운로드하고, 이름을 바꾸고, 해당 내용('script.a3x' 및 'AutoIt3.exe' 포함)을 추출하고, 'AutoIt3.exe'와 함께 'script.a3x'를 실행하는 방식으로 진행됩니다.

피싱 전술이 새로운 수법을 채택하고 있습니다

미국, 한국, 독일, 인도, 아일랜드, 이탈리아, 노르웨이 및 영국의 사용자를 대상으로 하는 OneDrive Pastejacking 피싱 캠페인이 감지되었습니다.

이번 발견은 점점 더 보편화되고 있는 ClickFix로 알려진 유사한 피싱 전술에 대한 이전 연구에 따른 것입니다.

또한 Discord의 CDN(콘텐츠 전달 네트워크)에서 호스팅되는 악성 페이로드를 트리거하는 가짜 Windows 바로 가기 파일을 배포하는 새로운 이메일 기반 사회 공학 체계가 등장했습니다.

공격자는 합법적인 계정을 악용하고 있습니다.

피싱 캠페인에서는 손상된 합법적인 계정에서 Microsoft Office Forms에 대한 링크가 포함된 이메일을 사용하여 대상을 속여 Microsoft 365 로그인 자격 증명을 공개하는 경우가 점점 더 늘어나고 있습니다. 구실에는 종종 Outlook 메시지 복원이 포함됩니다.

공격자는 Microsoft Office Forms에서 설득력 있는 양식을 디자인하고 그 안에 안전하지 않은 링크를 포함시킵니다. 이러한 양식은 이메일을 통해 대량으로 전송되며, 비밀번호 변경이나 중요한 문서 액세스 등 합법적인 요청으로 가장하여 Adobe 또는 Microsoft SharePoint와 같은 신뢰할 수 있는 플랫폼을 모방하는 경우가 많습니다.

또한 다른 피싱 시도에서는 피해자가 Cloudflare R2에서 호스팅되는 피싱 페이지에 자격 증명을 입력하도록 유인하기 위해 송장 테마의 미끼를 사용했으며, 수집된 정보는 Telegram 봇을 통해 공격자에게 전송되었습니다.

공격자들은 공격 성공률을 높이기 위해 SEG(Secure Email Gateway)를 우회하는 새로운 방법을 지속적으로 모색하고 있습니다.