OneDrive lažno predstavljanje
Strokovnjaki za kibernetsko varnost so opozorili na novo kampanjo lažnega predstavljanja, ki cilja na uporabnike Microsoft OneDrive. Namen te kampanje je uvesti škodljiv skript PowerShell z uporabo prefinjenih tehnik socialnega inženiringa, da bi uporabnike pretentali, da bi zagnali skript in ogrozili njihove sisteme. Raziskovalci spremljajo to inovativno kampanjo lažnega predstavljanja in prenosov, ki so jo poimenovali OneDrive Pastejacking.
Kazalo
Napadalci posnemajo OneDrive, da bi pretentali žrtve
Napad se začne z e-poštnim sporočilom, ki vsebuje datoteko HTML, ki ob odprtju prikaže sliko, ki posnema stran OneDrive, in prikaže sporočilo o napaki, ki pravi: »Povezave z oblačno storitvijo 'OneDrive' ni bilo mogoče vzpostaviti. Če želite rešiti to težavo, ročno posodobite DNS predpomnilnik."
E-poštno sporočilo ponuja dve možnosti: »Kako popraviti« in »Podrobnosti«. Povezava »Podrobnosti« uporabnike usmeri na pristno Microsoftovo stran za učenje o odpravljanju težav z DNS.
Vendar pa klik na »Kako popraviti« vodi uporabnike skozi vrsto korakov, ki vključujejo pritisk na tipko Windows + X za dostop do menija hitre povezave, odpiranje terminala PowerShell in lepljenje ukaza, kodiranega z Base64, namenjenega odpravi težave.
Ta ukaz najprej izvede ipconfig /flushdns, nato pa ustvari mapo z imenom 'downloads' na pogonu C:. Nadaljuje tako, da prenese arhivsko datoteko v to mapo, jo preimenuje, ekstrahira njeno vsebino (ki vključuje »script.a3x« in »AutoIt3.exe«) in zažene »script.a3x« z »AutoIt3.exe«.
Taktike lažnega predstavljanja sprejemajo nove trike
Zaznana je bila kampanja lažnega predstavljanja OneDrive Pastejacking, ki cilja na uporabnike v ZDA, Južni Koreji, Nemčiji, Indiji, na Irskem, v Italiji, na Norveškem in v Združenem kraljestvu.
To odkritje sledi prejšnjim raziskavam o podobnih taktikah lažnega predstavljanja, znanih kot ClickFix, ki postajajo vse pogostejše.
Poleg tega se je pojavila nova shema socialnega inženiringa, ki temelji na e-pošti, ki distribuira lažne datoteke z bližnjicami Windows, ki sprožijo zlonamerno koristno obremenitev, ki gostuje v Discordovem omrežju za dostavo vsebin (CDN).
Napadalci izkoriščajo zakonite račune
Kampanje z lažnim predstavljanjem vse pogosteje uporabljajo e-poštna sporočila s povezavami do obrazcev Microsoft Office Forms iz ogroženih zakonitih računov, da tarče pretentajo, da razkrijejo svoje poverilnice za prijavo v Microsoft 365. Preveza pogosto vključuje obnovitev Outlookovih sporočil.
Napadalci oblikujejo prepričljive obrazce na Microsoft Office Forms in vanje vdelajo nevarne povezave. Ti obrazci so poslani v velikem obsegu po e-pošti, zamaskirani kot zakonite zahteve, kot so spremembe gesla ali dostop do pomembnih dokumentov, pogosto posnemajo zaupanja vredne platforme, kot sta Adobe ali Microsoft SharePoint.
Poleg tega so drugi poskusi lažnega predstavljanja uporabili vabo na temo računa, da bi žrtve zvabili k vnosu svojih poverilnic na straneh z lažnim predstavljanjem, ki gostujejo na Cloudflare R2, pri čemer so bile zbrane informacije poslane napadalcem prek robota Telegram.
Jasno je, da nasprotniki nenehno raziskujejo nove metode za obhod varnih e-poštnih prehodov (SEG), da povečajo stopnjo uspešnosti svojih napadov.
