Înșelătorie de phishing OneDrive
Experții în securitate cibernetică au avertizat despre o nouă campanie de phishing care vizează utilizatorii Microsoft OneDrive. Această campanie își propune să implementeze un script PowerShell dăunător prin folosirea unor tehnici sofisticate de inginerie socială pentru a păcăli utilizatorii să ruleze scriptul și să-și compromită sistemele. Cercetătorii monitorizează această campanie inovatoare de phishing și descărcare, pe care au numit-o OneDrive Pastejacking.
Cuprins
Atacatorii imită OneDrive pentru a păcăli victimele
Atacul începe cu un e-mail care conține un fișier HTML care, atunci când este deschis, prezintă o imagine care imită o pagină OneDrive și afișează un mesaj de eroare care spune: „Nu s-a putut conecta la serviciul cloud „OneDrive”. Pentru a rezolva această problemă, actualizați manual DNS-ul cache."
E-mailul oferă două opțiuni: „Cum se remediază” și „Detalii”. Linkul „Detalii” direcționează utilizatorii către o pagină Microsoft Learn autentică despre depanarea DNS.
Cu toate acestea, făcând clic pe „Cum se rezolvă” conduce utilizatorii printr-o serie de pași care implică apăsarea „Tasta Windows + X” pentru a accesa meniul Link rapid, deschiderea terminalului PowerShell și lipirea unei comenzi codificate în Base64 menită să rezolve problema.
Această comandă execută mai întâi ipconfig /flushdns, apoi creează un folder numit „descărcări” pe unitatea C:. Continuă prin descărcarea unui fișier arhivă în acest folder, redenumirea acestuia, extragerea conținutului acestuia (care includ „script.a3x” și „AutoIt3.exe”) și rularea „script.a3x” cu „AutoIt3.exe”.
Tacticile de phishing adoptă trucuri noi
Campania de phishing OneDrive Pastejacking a fost detectată care vizează utilizatori din SUA, Coreea de Sud, Germania, India, Irlanda, Italia, Norvegia și Regatul Unit
Această descoperire urmează cercetărilor anterioare despre tactici similare de phishing, cunoscute sub numele de ClickFix, care devin din ce în ce mai frecvente.
În plus, a apărut o nouă schemă de inginerie socială bazată pe e-mail, care distribuie fișiere false de scurtături Windows care declanșează încărcături utile rău intenționate găzduite în Rețeaua de livrare de conținut (CDN) a Discord.
Atacatorii exploatează conturi legitime
Campaniile de phishing folosesc din ce în ce mai mult e-mailuri cu link-uri către formulare Microsoft Office din conturi legitime compromise pentru a păcăli ținte să-și dezvăluie acreditările de conectare la Microsoft 365. Pretextul implică adesea restaurarea mesajelor Outlook.
Atacatorii creează formulare convingătoare pe Formularele Microsoft Office, încorporând legături nesigure în ele. Aceste formulare sunt trimise în bloc prin e-mail, prefăcându-se drept solicitări legitime, cum ar fi modificarea parolei sau accesarea documentelor importante, imitând adesea platforme de încredere precum Adobe sau Microsoft SharePoint.
În plus, alte încercări de phishing au folosit momeală pe bază de factură pentru a atrage victimele să-și introducă acreditările pe paginile de phishing găzduite pe Cloudflare R2, informațiile colectate fiind trimise atacatorilor printr-un bot Telegram.
Este clar că adversarii explorează în mod continuu noi metode de a ocoli Secure Email Gateways (SEG) pentru a spori rata de succes a atacurilor lor.
