Фишинговое мошенничество с OneDrive
Эксперты по кибербезопасности предупредили о новой фишинговой кампании, нацеленной на пользователей Microsoft OneDrive. Эта кампания направлена на развертывание вредоносного сценария PowerShell с использованием сложных методов социальной инженерии, чтобы обманом заставить пользователей запустить сценарий и поставить под угрозу их системы. Исследователи отслеживают эту инновационную кампанию по фишингу и загрузке, которую они назвали OneDrive Pastejacking.
Оглавление
Злоумышленники имитируют OneDrive, чтобы обмануть жертв
Атака начинается с электронного письма, содержащего HTML-файл, который при открытии представляет изображение, имитирующее страницу OneDrive, и отображает сообщение об ошибке: «Не удалось подключиться к облачной службе OneDrive. Чтобы решить эту проблему, вручную обновите DNS». кэш».
В электронном письме есть два варианта: «Как исправить» и «Подробнее». Ссылка «Подробности» направляет пользователей на настоящую страницу Microsoft Learn, посвященную устранению неполадок DNS.
Однако нажатие кнопки «Как исправить» приводит пользователей к выполнению ряда шагов, которые включают нажатие клавиши «Windows + X» для доступа к меню быстрой ссылки, открытие терминала PowerShell и вставку команды в кодировке Base64, предназначенной для устранения проблемы.
Эта команда сначала выполняет ipconfig /flushdns, затем создает папку с именем «downloads» на диске C:. Он загружает архивный файл в эту папку, переименовывает его, извлекает его содержимое (в том числе «script.a3x» и «AutoIt3.exe») и запускает «script.a3x» с «AutoIt3.exe».
Фишинговые тактики используют новые приемы
Фишинговая кампания OneDrive Pastejacking была обнаружена и нацелена на пользователей в США, Южной Корее, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании.
Это открытие последовало за предыдущими исследованиями аналогичной тактики фишинга, известной как ClickFix, которая становится все более распространенной.
Кроме того, появилась новая схема социальной инженерии на основе электронной почты, которая распространяет поддельные файлы ярлыков Windows, которые запускают вредоносные полезные нагрузки, размещенные в сети доставки контента (CDN) Discord.
Злоумышленники используют легальные учетные записи
В фишинговых кампаниях все чаще используются электронные письма со ссылками на формы Microsoft Office из скомпрометированных законных учетных записей, чтобы обманом заставить жертв раскрыть свои учетные данные для входа в Microsoft 365. Предлогом часто является восстановление сообщений Outlook.
Злоумышленники создают убедительные формы в Microsoft Office Forms, встраивая в них небезопасные ссылки. Эти формы массово рассылаются по электронной почте, маскируясь под законные запросы, такие как смена пароля или доступ к важным документам, часто имитируя надежные платформы, такие как Adobe или Microsoft SharePoint.
Кроме того, в других попытках фишинга использовалась приманка на тему счетов, чтобы заставить жертв ввести свои учетные данные на фишинговых страницах, размещенных на Cloudflare R2, при этом собранная информация отправлялась злоумышленникам через бот Telegram.
Очевидно, что злоумышленники постоянно изучают новые методы обхода шлюзов безопасной электронной почты (SEG), чтобы повысить вероятность успеха своих атак.
