OneDrive Phishing Scam
Pakar keselamatan siber telah memberi amaran tentang kempen pancingan data baharu yang menyasarkan pengguna Microsoft OneDrive. Kempen ini bertujuan untuk menggunakan skrip PowerShell yang berbahaya dengan menggunakan teknik kejuruteraan sosial yang canggih untuk menipu pengguna supaya menjalankan skrip dan menjejaskan sistem mereka. Para penyelidik memantau kempen pancingan data dan muat turun yang inovatif ini, yang mereka namakan OneDrive Pastejacking.
Isi kandungan
Penyerang Meniru OneDrive untuk Menipu Mangsa
Serangan bermula dengan e-mel yang mengandungi fail HTML yang, apabila dibuka, memaparkan imej yang meniru halaman OneDrive dan memaparkan mesej ralat yang menyatakan: "Gagal menyambung ke perkhidmatan awan 'OneDrive'. Untuk menyelesaikan isu ini, kemas kini DNS secara manual cache."
E-mel menyediakan dua pilihan: 'Cara membetulkan' dan 'Butiran.' Pautan 'Butiran' mengarahkan pengguna ke halaman Microsoft Learn tulen tentang penyelesaian masalah DNS.
Walau bagaimanapun, mengklik 'Cara membetulkan' membawa pengguna melalui satu siri langkah yang melibatkan menekan 'Windows Key + X' untuk mengakses menu Pautan Pantas, membuka terminal PowerShell dan menampal perintah berkod Base64 yang bertujuan untuk menyelesaikan isu tersebut.
Perintah ini mula-mula melaksanakan ipconfig /flushdns, kemudian mencipta folder bernama 'muat turun' pada pemacu C:. Ia meneruskan dengan memuat turun fail arkib ke dalam folder ini, menamakannya semula, mengekstrak kandungannya (yang termasuk 'script.a3x' dan 'AutoIt3.exe'), dan menjalankan 'script.a3x' dengan 'AutoIt3.exe.'
Taktik Pancingan data Sedang Mengguna pakai Helah Baharu
Kempen pancingan data OneDrive Pastejacking telah dikesan menyasarkan pengguna di seluruh AS, Korea Selatan, Jerman, India, Ireland, Itali, Norway dan UK
Penemuan ini mengikuti penyelidikan terdahulu tentang taktik pancingan data yang serupa, yang dikenali sebagai ClickFix, yang semakin biasa.
Selain itu, skim kejuruteraan sosial berasaskan e-mel baharu telah muncul, mengedarkan fail pintasan Windows palsu yang mencetuskan muatan berniat jahat yang dihoskan pada Rangkaian Penghantaran Kandungan (CDN) Discord.
Penyerang Mengeksploitasi Akaun Sah
Kempen pancingan data semakin menggunakan e-mel dengan pautan ke Borang Microsoft Office daripada akaun sah yang terjejas untuk menipu sasaran supaya mendedahkan bukti kelayakan log masuk Microsoft 365 mereka. Alasan selalunya melibatkan memulihkan mesej Outlook.
Penyerang mereka bentuk borang yang meyakinkan pada Borang Microsoft Office, membenamkan pautan tidak selamat di dalamnya. Borang ini dihantar secara pukal melalui e-mel, menyamar sebagai permintaan yang sah, seperti perubahan kata laluan atau mengakses dokumen penting, selalunya meniru platform yang dipercayai seperti Adobe atau Microsoft SharePoint.
Selain itu, percubaan pancingan data lain telah menggunakan umpan bertemakan invois untuk menarik mangsa supaya memasukkan bukti kelayakan mereka pada halaman pancingan data yang dihoskan di Cloudflare R2, dengan maklumat yang dikumpul dihantar kepada penyerang melalui bot Telegram.
Jelas sekali bahawa pihak lawan sedang meneroka kaedah baharu secara berterusan untuk memintas Gerbang E-mel Selamat (SEG) untuk meningkatkan kadar kejayaan serangan mereka.
