OneDrive Phishing Scam
Eksperci ds. cyberbezpieczeństwa ostrzegają przed nową kampanią phishingową skierowaną do użytkowników Microsoft OneDrive. Celem tej kampanii jest wdrożenie szkodliwego skryptu PowerShell poprzez zastosowanie wyrafinowanych technik inżynierii społecznej w celu nakłonienia użytkowników do uruchomienia skryptu i naruszenia bezpieczeństwa ich systemów. Badacze monitorują tę innowacyjną kampanię phishingu i pobierania, którą nazwali OneDrive Pastejacking.
Spis treści
Atakujący naśladują OneDrive, aby oszukać ofiary
Atak rozpoczyna się od wiadomości e-mail zawierającej plik HTML, który po otwarciu przedstawia obraz naśladujący stronę OneDrive i wyświetla komunikat o błędzie: „Nie udało się połączyć z usługą w chmurze „OneDrive”. Aby rozwiązać ten problem, ręcznie zaktualizuj DNS Pamięć podręczna."
W wiadomości e-mail dostępne są dwie opcje: „Jak naprawić” i „Szczegóły”. Link „Szczegóły” kieruje użytkowników do oryginalnej strony Microsoft Learn poświęconej rozwiązywaniu problemów z DNS.
Jednak kliknięcie „Jak naprawić” prowadzi użytkowników przez szereg kroków obejmujących naciśnięcie „Klawisz Windows + X”, aby uzyskać dostęp do menu Szybkie łącze, otwarcie terminala PowerShell i wklejenie polecenia zakodowanego w formacie Base64, które ma rozwiązać problem.
To polecenie najpierw uruchamia polecenie ipconfig /flushdns, a następnie tworzy folder o nazwie „downloads” na dysku C:. Następuje pobranie pliku archiwum do tego folderu, zmiana jego nazwy, wyodrębnienie jego zawartości (w tym „script.a3x” i „AutoIt3.exe”) i uruchomienie „script.a3x” z „AutoIt3.exe”.
Taktyki phishingu wykorzystują nowe sztuczki
Wykryto kampanię phishingową OneDrive Pastejacking, której celem są użytkownicy w USA, Korei Południowej, Niemczech, Indiach, Irlandii, Włoszech, Norwegii i Wielkiej Brytanii
Odkrycie to jest następstwem wcześniejszych badań dotyczących podobnych taktyk phishingu, znanych jako ClickFix, które stają się coraz bardziej powszechne.
Ponadto pojawił się nowy schemat socjotechniki oparty na poczcie e-mail, rozpowszechniający fałszywe pliki skrótów systemu Windows, które uruchamiają złośliwe ładunki hostowane w sieci dostarczania treści (CDN) firmy Discord.
Atakujący wykorzystują legalne konta
W kampaniach phishingowych coraz częściej wykorzystuje się wiadomości e-mail z łączami do formularzy Microsoft Office Forms pochodzące z zaatakowanych legalnych kont, aby nakłonić cele do ujawnienia danych logowania do usługi Microsoft 365. Pretekstem często jest przywracanie wiadomości programu Outlook.
Atakujący projektują przekonujące formularze w Microsoft Office Forms, osadzając w nich niebezpieczne łącza. Formularze te są wysyłane masowo pocztą elektroniczną i udają uzasadnione żądania, takie jak zmiana hasła lub dostęp do ważnych dokumentów, często imitując zaufane platformy, takie jak Adobe lub Microsoft SharePoint.
Ponadto inne próby phishingu wykorzystywały przynętę w postaci faktury, aby nakłonić ofiary do wprowadzenia danych uwierzytelniających na stronach phishingowych hostowanych w Cloudflare R2, a zebrane informacje są wysyłane do atakujących za pośrednictwem bota Telegramu.
Oczywiste jest, że przeciwnicy nieustannie poszukują nowych metod ominięcia bezpiecznych bram e-mail (SEG), aby zwiększyć skuteczność swoich ataków.
