OneDrive Phishing-svindel
Eksperter på nettsikkerhet har advart om en ny phishing-kampanje rettet mot Microsoft OneDrive-brukere. Denne kampanjen tar sikte på å distribuere et skadelig PowerShell-skript ved å bruke sofistikerte sosiale ingeniørteknikker for å lure brukere til å kjøre skriptet og kompromittere systemene deres. Forskerne overvåker denne innovative phishing- og nedlastningskampanjen, som de har kalt OneDrive Pastejacking.
Innholdsfortegnelse
Angriperne imiterer OneDrive for å lure ofre
Angrepet starter med en e-post som inneholder en HTML-fil som, når den åpnes, presenterer et bilde som etterligner en OneDrive-side og viser en feilmelding som sier: "Kunne ikke koble til skytjenesten 'OneDrive'. For å løse dette problemet, oppdater DNS manuelt cache."
E-posten inneholder to alternativer: "Hvordan fikser" og "Detaljer." Koblingen 'Detaljer' leder brukerne til en ekte Microsoft Learn-side om DNS-feilsøking.
Imidlertid, ved å klikke på "Hvordan løser" fører brukerne gjennom en rekke trinn som involverer å trykke på "Windows-tast + X" for å få tilgang til hurtigkoblingsmenyen, åpne PowerShell-terminalen og lime inn en Base64-kodet kommando som er ment å fikse problemet.
Denne kommandoen kjører først ipconfig /flushdns, og oppretter deretter en mappe kalt 'nedlastinger' på C:-stasjonen. Den fortsetter med å laste ned en arkivfil til denne mappen, gi den nytt navn, trekke ut innholdet (som inkluderer 'script.a3x' og 'AutoIt3.exe'), og kjøre 'script.a3x' med 'AutoIt3.exe.'
Phishing-taktikker tar i bruk nye triks
OneDrive Pastejacking-phishing-kampanjen har blitt oppdaget rettet mot brukere over hele USA, Sør-Korea, Tyskland, India, Irland, Italia, Norge og Storbritannia
Denne oppdagelsen følger tidligere forskning på lignende phishing-taktikker, kjent som ClickFix, som blir mer vanlig.
I tillegg har et nytt e-postbasert sosialt ingeniøropplegg dukket opp, som distribuerer falske Windows-snarveisfiler som utløser ondsinnede nyttelaster på Discords Content Delivery Network (CDN).
Angriperne utnytter legitime kontoer
Phishing-kampanjer bruker i økende grad e-poster med lenker til Microsoft Office-skjemaer fra kompromitterte legitime kontoer for å lure mål til å avsløre deres Microsoft 365-påloggingsinformasjon. Påskuddet innebærer ofte å gjenopprette Outlook-meldinger.
Angripere utformer overbevisende skjemaer på Microsoft Office Forms, og legger inn usikre lenker i dem. Disse skjemaene sendes i bulk via e-post, forklædt som legitime forespørsler, for eksempel passordendringer eller tilgang til viktige dokumenter, ofte etterligne pålitelige plattformer som Adobe eller Microsoft SharePoint.
I tillegg har andre phishing-forsøk brukt agn med fakturatema for å lokke ofre til å skrive inn legitimasjonen deres på phishing-sider som er vert på Cloudflare R2, med den innsamlede informasjonen sendt til angriperne via en Telegram-bot.
Det er tydelig at motstandere kontinuerlig utforsker nye metoder for å omgå Secure Email Gateways (SEG-er) for å øke suksessraten for angrepene deres.
