Mashtrimi i phishing OneDrive
Ekspertët e sigurisë kibernetike kanë paralajmëruar për një fushatë të re phishing që synon përdoruesit e Microsoft OneDrive. Kjo fushatë synon të vendosë një skript të dëmshëm PowerShell duke përdorur teknika të sofistikuara të inxhinierisë sociale për të mashtruar përdoruesit që të ekzekutojnë skriptin dhe të komprometojnë sistemet e tyre. Studiuesit po monitorojnë këtë fushatë inovative të phishing dhe shkarkimit, të cilën ata e kanë quajtur OneDrive Pastejacking.
Tabela e Përmbajtjes
Sulmuesit imitojnë OneDrive për të mashtruar viktimat
Sulmi fillon me një email që përmban një skedar HTML që, kur hapet, paraqet një imazh që imiton një faqe OneDrive dhe shfaq një mesazh gabimi që thotë: "Dështoi të lidhej me shërbimin cloud "OneDrive". Për të zgjidhur këtë problem, përditësoni manualisht DNS cache."
Email-i ofron dy opsione: 'Si të rregullohet' dhe 'Detajet'. Lidhja 'Detajet' i drejton përdoruesit në një faqe origjinale të Microsoft Learn për zgjidhjen e problemeve të DNS.
Megjithatë, klikimi "Si të rregullohet" i çon përdoruesit nëpër një sërë hapash që përfshijnë shtypjen e "Windows Key + X" për të hyrë në menunë e Lidhjes së Shpejtë, hapjen e terminalit të PowerShell dhe ngjitjen e një komande të koduar nga Base64 që synon të rregullojë problemin.
Kjo komandë fillimisht ekzekuton ipconfig /flushdns, më pas krijon një dosje të quajtur 'shkarkime' në diskun C:. Ai vazhdon duke shkarkuar një skedar arkivi në këtë dosje, duke e riemërtuar atë, duke nxjerrë përmbajtjen e tij (të cilat përfshijnë 'script.a3x' dhe 'AutoIt3.exe') dhe duke ekzekutuar 'script.a3x' me 'AutoIt3.exe.'
Taktikat e phishing po miratojnë truke të reja
Fushata e phishing OneDrive Pastejacking është zbuluar duke synuar përdoruesit në të gjithë SHBA, Korenë e Jugut, Gjermani, Indi, Irlandë, Itali, Norvegji dhe MB
Ky zbulim vjen pas kërkimeve të mëparshme mbi taktika të ngjashme phishing, të njohura si ClickFix, të cilat po bëhen më të zakonshme.
Për më tepër, është shfaqur një skemë e re e inxhinierisë sociale e bazuar në email, duke shpërndarë skedarë të rreme të shkurtoreve të Windows që shkaktojnë ngarkesa me qëllim të keq të vendosura në Rrjetin e shpërndarjes së përmbajtjes së Discord (CDN).
Sulmuesit shfrytëzojnë llogari të ligjshme
Fushatat e phishing po përdorin gjithnjë e më shumë emaile me lidhje me formularët e Microsoft Office nga llogari të ligjshme të komprometuara për të mashtruar objektivat për të zbuluar kredencialet e tyre të hyrjes në Microsoft 365. Preteksti shpesh përfshin rivendosjen e mesazheve të Outlook.
Sulmuesit hartojnë forma bindëse në formularët e Microsoft Office, duke futur lidhje të pasigurta brenda tyre. Këta formularë dërgohen me shumicë përmes emailit, duke u maskuar si kërkesa legjitime, të tilla si ndryshimet e fjalëkalimit ose aksesi në dokumente të rëndësishme, shpesh duke imituar platforma të besuara si Adobe ose Microsoft SharePoint.
Për më tepër, përpjekje të tjera phishing kanë përdorur karrem me temë faturash për të joshur viktimat që të futin kredencialet e tyre në faqet e phishing të vendosura në Cloudflare R2, me informacionin e mbledhur që u dërgohet sulmuesve nëpërmjet një boti Telegram.
Është e qartë se kundërshtarët po eksplorojnë vazhdimisht metoda të reja për të anashkaluar Portat e Sigurta të Email-it (SEG) për të rritur shkallën e suksesit të sulmeve të tyre.
