„OneDrive“ sukčiavimo sukčiavimas
Kibernetinio saugumo ekspertai perspėjo apie naują sukčiavimo kampaniją, skirtą Microsoft OneDrive vartotojams. Šia kampanija siekiama įdiegti žalingą „PowerShell“ scenarijų, naudojant sudėtingus socialinės inžinerijos metodus, siekiant apgauti vartotojus paleisti scenarijų ir pažeisti jų sistemas. Tyrėjai stebi šią naujovišką sukčiavimo ir atsisiuntimo kampaniją, kurią jie pavadino „OneDrive Pastejacking“.
Turinys
Užpuolikai imituoja „OneDrive“, kad apgautų aukas
Ataka prasideda el. laišku, kuriame yra HTML failas, kurį atidarius pateikiamas vaizdas, imituojantis „OneDrive“ puslapį, ir rodomas klaidos pranešimas, kuriame teigiama: „Nepavyko prisijungti prie „OneDrive“ debesies paslaugos. Norėdami išspręsti šią problemą, rankiniu būdu atnaujinkite DNS talpykla“.
El. laiške pateikiamos dvi parinktys: „Kaip pataisyti“ ir „Išsami informacija“. Nuoroda „Išsami informacija“ nukreipia vartotojus į tikrą „Microsoft Learn“ puslapį apie DNS trikčių šalinimą.
Tačiau spustelėjus „Kaip pataisyti“, naudotojai atlieka keletą veiksmų, kurių metu reikia paspausti „Windows“ klavišą + X, kad pasiektų „Quick Link“ meniu, atidarytų „PowerShell“ terminalą ir įklijuotų „Base64“ koduotą komandą, skirtą problemai išspręsti.
Ši komanda pirmiausia vykdo ipconfig /flushdns, tada C: diske sukuria aplanką pavadinimu „atsisiuntimai“. Tai vyksta atsisiunčiant archyvo failą į šį aplanką, jį pervadinant, ištraukiant jo turinį (įskaitant „script.a3x“ ir „AutoIt3.exe“) ir paleidžiant „script.a3x“ su „AutoIt3.exe“.
Sukčiavimo taktika imasi naujų gudrybių
Aptikta „OneDrive Pastejacking“ sukčiavimo kampanija, skirta naudotojams JAV, Pietų Korėjoje, Vokietijoje, Indijoje, Airijoje, Italijoje, Norvegijoje ir JK
Šis atradimas buvo atliktas po ankstesnių panašių sukčiavimo taktikos, žinomos kaip ClickFix, tyrimai, kurie vis labiau paplitę.
Be to, atsirado nauja el. paštu pagrįsta socialinės inžinerijos schema, platinanti netikrus „Windows“ sparčiųjų klavišų failus, kurie suaktyvina kenksmingus krovinius, esančius „Discord“ turinio pristatymo tinkle (CDN).
Užpuolikai išnaudoja teisėtas paskyras
Sukčiavimo kampanijose vis dažniau naudojami el. laiškai su nuorodomis į „Microsoft Office“ formas iš pažeistų teisėtų paskyrų, siekiant apgauti taikinius, kad jie atskleistų savo „Microsoft 365“ prisijungimo duomenis. Pretekstas dažnai apima „Outlook“ pranešimų atkūrimą.
Užpuolikai kuria įtikinamas formas „Microsoft Office Forms“, įterpdami nesaugias nuorodas. Šios formos siunčiamos masiškai el. paštu, pridengiant teisėtus prašymus, tokius kaip slaptažodžio keitimas arba prieiga prie svarbių dokumentų, dažnai imituojant patikimas platformas, pvz., „Adobe“ ar „Microsoft SharePoint“.
Be to, kiti sukčiavimo bandymai naudojo sąskaitų faktūrų masalą, kad suviliotų aukas įvesti savo kredencialus sukčiavimo puslapiuose, esančiuose „Cloudflare R2“, o surinkta informacija buvo siunčiama užpuolikams per „Telegram“ robotą.
Akivaizdu, kad priešininkai nuolat ieško naujų būdų, kaip apeiti saugius el. pašto šliuzus (SEG), kad padidintų savo atakų sėkmės rodiklį.
