OneDrive Phishing Scam
Os especialistas em segurança cibernética alertaram sobre uma nova campanha de phishing direcionada aos usuários do Microsoft OneDrive. Esta campanha tem como objetivo implantar um script PowerShell prejudicial, empregando técnicas sofisticadas de engenharia social para induzir os usuários a executar o script e comprometer seus sistemas. Os pesquisadores estão monitorando esta campanha inovadora de phishing e downloader, que eles apelidaram de OneDrive Pastejacking.
Índice
Os Invasores Imitam o OneDrive para Enganar as Vítimas
O ataque começa com um e-mail contendo um arquivo HTML que, ao ser aberto, apresenta uma imagem imitando uma página do OneDrive e exibe uma mensagem de erro informando: “Falha ao conectar-se ao serviço de nuvem ‘OneDrive’. cache."
O e-mail oferece duas opções: ‘Como corrigir’ e ‘Detalhes’. O link ‘Detalhes’ direciona os usuários para uma página genuína do Microsoft Learn sobre solução de problemas de DNS.
No entanto, clicar em ‘Como corrigir’ conduz os usuários por uma série de etapas que envolvem pressionar ‘Tecla Windows + X’ para acessar o menu Quick Link, abrir o terminal PowerShell e colar um comando codificado em Base64 destinado a corrigir o problema.
Este comando primeiro executa ipconfig /flushdns e, em seguida, cria uma pasta chamada ‘downloads’ na unidade C:. Ele prossegue baixando um arquivo compactado para esta pasta, renomeando-o, extraindo seu conteúdo (que inclui 'script.a3x' e 'AutoIt3.exe') e executando 'script.a3x' com 'AutoIt3.exe'.
As Táticas de Phishing estão Adotando Novos Truques
A campanha de phishing do OneDrive Pastejacking foi detectada visando usuários nos EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido
Esta descoberta segue pesquisas anteriores sobre táticas de phishing semelhantes, conhecidas como ClickFix, que estão se tornando mais comuns.
Além disso, surgiu um novo esquema de engenharia social baseado em e-mail, distribuindo arquivos falsos de atalho do Windows que acionam cargas maliciosas hospedadas na Content Delivery Network (CDN) do Discord.
Os Invasores estão Explorando Contas Legítimas
As campanhas de phishing usam cada vez mais e-mails com links para formulários do Microsoft Office de contas legítimas comprometidas para induzir os alvos a revelarem suas credenciais de login do Microsoft 365. O pretexto geralmente envolve a restauração de mensagens do Outlook.
Os invasores criam formulários convincentes no Microsoft Office Forms, incorporando links inseguros neles. Esses formulários são enviados em massa por e-mail, disfarçando-se de solicitações legítimas, como alterações de senha ou acesso a documentos importantes, muitas vezes imitando plataformas confiáveis como Adobe ou Microsoft SharePoint.
Além disso, outras tentativas de phishing empregaram iscas com tema de fatura para atrair as vítimas a inserirem suas credenciais em páginas de phishing hospedadas no Cloudflare R2, com as informações coletadas sendo enviadas aos invasores por meio de um bot do Telegram.
Está claro que os adversários estão continuamente explorando novos métodos para contornar os Secure Email Gateways (SEGs) e aumentar a taxa de sucesso de seus ataques.
