Phishing-fraude met OneDrive
Cybersecurity-experts hebben gewaarschuwd voor een nieuwe phishing-campagne gericht op Microsoft OneDrive-gebruikers. Deze campagne heeft tot doel een schadelijk PowerShell-script in te zetten door gebruik te maken van geavanceerde social engineering-technieken om gebruikers te misleiden om het script uit te voeren en hun systemen in gevaar te brengen. De onderzoekers houden deze innovatieve phishing- en downloadercampagne, die zij OneDrive Pastejacking hebben genoemd, in de gaten.
Inhoudsopgave
De aanvallers imiteren OneDrive om slachtoffers te misleiden
De aanval begint met een e-mail met een HTML-bestand dat, wanneer het wordt geopend, een afbeelding presenteert die een OneDrive-pagina nabootst en een foutmelding weergeeft met de melding: "Kan geen verbinding maken met de 'OneDrive'-cloudservice. Om dit probleem op te lossen, moet u de DNS handmatig bijwerken cache."
De e-mail biedt twee opties: 'Hoe op te lossen' en 'Details'. De link 'Details' leidt gebruikers naar een authentieke Microsoft Learn-pagina over DNS-probleemoplossing.
Door op 'Hoe op te lossen' te klikken, worden gebruikers echter door een reeks stappen geleid, waarbij ze op 'Windows-toets + X' moeten drukken om toegang te krijgen tot het Quick Link-menu, de PowerShell-terminal te openen en een Base64-gecodeerde opdracht te plakken die bedoeld is om het probleem op te lossen.
Deze opdracht voert eerst ipconfig /flushdns uit en maakt vervolgens een map met de naam 'downloads' op station C:. Het gaat verder door een archiefbestand naar deze map te downloaden, de naam ervan te wijzigen, de inhoud ervan te extraheren (waaronder 'script.a3x' en 'AutoIt3.exe') en 'script.a3x' uit te voeren met 'AutoIt3.exe'.
Phishing-tactieken gebruiken nieuwe trucs
Er is gedetecteerd dat de phishing-campagne OneDrive Pastejacking zich richt op gebruikers in de VS, Zuid-Korea, Duitsland, India, Ierland, Italië, Noorwegen en het Verenigd Koninkrijk
Deze ontdekking volgt op eerder onderzoek naar soortgelijke phishing-tactieken, bekend als ClickFix, die steeds vaker voorkomen.
Bovendien is er een nieuw, op e-mail gebaseerd social engineering-programma ontstaan, dat valse Windows-snelkoppelingsbestanden verspreidt die kwaadaardige payloads activeren die worden gehost op het Content Delivery Network (CDN) van Discord.
De aanvallers exploiteren legitieme accounts
Bij phishingcampagnes wordt steeds vaker gebruik gemaakt van e-mails met links naar Microsoft Office Forms van gecompromitteerde legitieme accounts om doelen te misleiden zodat ze hun Microsoft 365-inloggegevens prijsgeven. Het voorwendsel betreft vaak het herstellen van Outlook-berichten.
Aanvallers ontwerpen overtuigende formulieren op Microsoft Office Forms en integreren daarin onveilige links. Deze formulieren worden in bulk via e-mail verzonden en doen zich voor als legitieme verzoeken, zoals wachtwoordwijzigingen of toegang tot belangrijke documenten, waarbij vaak vertrouwde platforms zoals Adobe of Microsoft SharePoint worden nagebootst.
Bovendien hebben andere phishing-pogingen gebruik gemaakt van lokaas met factuurthema om slachtoffers ertoe te verleiden hun inloggegevens in te voeren op phishing-pagina's die worden gehost op Cloudflare R2, waarbij de verzamelde informatie via een Telegram-bot naar de aanvallers wordt verzonden.
Het is duidelijk dat tegenstanders voortdurend nieuwe methoden onderzoeken om Secure Email Gateways (SEG's) te omzeilen en zo het slagingspercentage van hun aanvallen te vergroten.
