OneDrive pikšķerēšanas krāpniecība
Kiberdrošības eksperti brīdinājuši par jaunu pikšķerēšanas kampaņu, kas paredzēta Microsoft OneDrive lietotājiem. Šīs kampaņas mērķis ir izvietot kaitīgu PowerShell skriptu, izmantojot sarežģītas sociālās inženierijas metodes, lai pievilinātu lietotājus palaist skriptu un kompromitētu viņu sistēmas. Pētnieki uzrauga šo novatorisko pikšķerēšanas un lejupielādētāju kampaņu, ko viņi ir nodēvējuši par OneDrive Pastejacking.
Satura rādītājs
Uzbrucēji imitē OneDrive, lai apmānītu upurus
Uzbrukums sākas ar e-pasta ziņojumu, kurā ir HTML fails, kas, to atverot, parāda attēlu, kas atdarina OneDrive lapu, un parāda kļūdas ziņojumu, kurā teikts: "Neizdevās izveidot savienojumu ar "OneDrive" mākoņpakalpojumu. Lai atrisinātu šo problēmu, manuāli atjauniniet DNS. kešatmiņa."
E-pasta ziņojumā ir divas iespējas: “Kā labot” un “Detaļas”. Saite “Detaļas” novirza lietotājus uz īstu Microsoft Learn lapu par DNS problēmu novēršanu.
Tomēr, noklikšķinot uz “Kā labot”, lietotāji veic virkni darbību, kas ietver “Windows Key+X” nospiešanu, lai piekļūtu ātrās saites izvēlnei, atvērtu PowerShell termināli un ielīmētu Base64 kodētu komandu, kas paredzēta problēmas novēršanai.
Šī komanda vispirms izpilda ipconfig /flushdns, pēc tam C: diskā izveido mapi ar nosaukumu “downloads”. Tas notiek, lejupielādējot arhīva failu šajā mapē, pārdēvējot to, izvelkot tā saturu (kas ietver "script.a3x" un "AutoIt3.exe") un palaižot "script.a3x" ar "AutoIt3.exe".
Pikšķerēšanas taktika pieņem jaunus trikus
Ir atklāta OneDrive Pastejacking pikšķerēšanas kampaņa, kuras mērķauditorija ir lietotāji visā ASV, Dienvidkorejā, Vācijā, Indijā, Īrijā, Itālijā, Norvēģijā un Apvienotajā Karalistē.
Šis atklājums izriet no iepriekšējiem pētījumiem par līdzīgām pikšķerēšanas taktikām, kas pazīstamas kā ClickFix un kuras kļūst arvien izplatītākas.
Turklāt ir parādījusies jauna uz e-pastu balstīta sociālās inženierijas shēma, kas izplata viltotus Windows īsinājumtaustiņus, kas izraisa ļaunprātīgas slodzes, kas tiek mitinātas Discord satura piegādes tīklā (CDN).
Uzbrucēji izmanto likumīgus kontus
Pikšķerēšanas kampaņās arvien vairāk tiek izmantoti e-pasta ziņojumi ar saitēm uz Microsoft Office veidlapām no uzlauztiem likumīgiem kontiem, lai maldinātu mērķus un atklātu savus Microsoft 365 pieteikšanās akreditācijas datus. Iegansts bieži ietver Outlook ziņojumu atjaunošanu.
Uzbrucēji izstrādā pārliecinošas veidlapas programmā Microsoft Office Forms, tajās ievietojot nedrošas saites. Šīs veidlapas tiek nosūtītas lielapjomā pa e-pastu, maskējoties kā likumīgi pieprasījumi, piemēram, paroles maiņa vai piekļuve svarīgiem dokumentiem, bieži vien imitējot uzticamas platformas, piemēram, Adobe vai Microsoft SharePoint.
Turklāt citos pikšķerēšanas mēģinājumos ir izmantota ar rēķinu saistīta ēsma, lai mudinātu upurus ievadīt savus akreditācijas datus pikšķerēšanas lapās, kas mitinātas pakalpojumā Cloudflare R2, un savāktā informācija tiek nosūtīta uzbrucējiem, izmantojot Telegram robotu.
Ir skaidrs, ka pretinieki nepārtraukti pēta jaunas metodes, kā apiet drošās e-pasta vārtejas (SEG), lai palielinātu savu uzbrukumu panākumu līmeni.
