OneDrive Phishingový podvod
Odborníci na kybernetickú bezpečnosť varovali pred novou phishingovou kampaňou zameranou na používateľov Microsoft OneDrive. Táto kampaň sa zameriava na nasadenie škodlivého skriptu PowerShell pomocou sofistikovaných techník sociálneho inžinierstva na oklamanie používateľov, aby spustili skript a ohrozili ich systémy. Výskumníci monitorujú túto inovatívnu phishingovú a sťahovaciu kampaň, ktorú nazvali OneDrive Pastejacking.
Obsah
Útočníci napodobňujú OneDrive, aby oklamali obete
Útok sa začína e-mailom obsahujúcim súbor HTML, ktorý po otvorení zobrazí obrázok napodobňujúci stránku OneDrive a zobrazí chybové hlásenie: „Nepodarilo sa pripojiť ku cloudovej službe „OneDrive“. Ak chcete tento problém vyriešiť, manuálne aktualizujte DNS cache."
E-mail poskytuje dve možnosti: „Ako opraviť“ a „Podrobnosti“. Odkaz „Podrobnosti“ nasmeruje používateľov na skutočnú stránku Microsoft Learn o riešení problémov s DNS.
Kliknutím na „Ako opraviť“ však používatelia prejdú sériou krokov, ktoré zahŕňajú stlačenie klávesu „Windows Key + X“ na prístup k ponuke rýchleho prepojenia, otvorenie terminálu PowerShell a prilepenie príkazu v kódovaní Base64 určeného na vyriešenie problému.
Tento príkaz najprv spustí ipconfig /flushdns, potom vytvorí priečinok s názvom 'downloads' na disku C:. Pokračuje stiahnutím archívneho súboru do tohto priečinka, jeho premenovaním, extrahovaním jeho obsahu (ktorý zahŕňa 'script.a3x' a 'AutoIt3.exe') a spustením 'script.a3x' s 'AutoIt3.exe'.
Phishingové taktiky si osvojujú nové triky
Bola zistená phishingová kampaň OneDrive Pastejacking, ktorá sa zameriava na používateľov v USA, Južnej Kórei, Nemecku, Indii, Írsku, Taliansku, Nórsku a Spojenom kráľovstve.
Tento objav nadväzuje na predchádzajúci výskum podobných taktík phishingu, známych ako ClickFix, ktoré sú čoraz bežnejšie.
Okrem toho sa objavila nová schéma sociálneho inžinierstva založená na e-mailoch, ktorá distribuuje falošné súbory skratiek Windows, ktoré spúšťajú škodlivé užitočné zaťaženia hostené na Discord's Content Delivery Network (CDN).
Útočníci využívajú legitímne účty
Phishingové kampane čoraz častejšie využívajú e-maily s odkazmi na Microsoft Office Forms z napadnutých legitímnych účtov na oklamanie cieľov, aby odhalili svoje prihlasovacie údaje do Microsoft 365. Zámienka často zahŕňa obnovenie správ programu Outlook.
Útočníci navrhujú presvedčivé formuláre na Microsoft Office Forms a vkladajú do nich nebezpečné odkazy. Tieto formuláre sa odosielajú hromadne prostredníctvom e-mailu, maskujú sa ako legitímne požiadavky, ako sú zmeny hesla alebo prístup k dôležitým dokumentom, pričom často napodobňujú dôveryhodné platformy ako Adobe alebo Microsoft SharePoint.
Okrem toho ďalšie pokusy o phishing použili návnadu s tematikou faktúry, aby nalákali obete, aby zadali svoje poverenia na phishingových stránkach hostených na Cloudflare R2, pričom zhromaždené informácie boli útočníkom odoslané prostredníctvom robota Telegram.
Je jasné, že protivníci neustále skúmajú nové metódy, ako obísť zabezpečené e-mailové brány (SEG), aby zvýšili úspešnosť svojich útokov.
