OneDrive Phishing Scam
Стручњаци за сајбер безбедност упозорили су на нову пхисхинг кампању која циља кориснике Мицрософт ОнеДриве-а. Ова кампања има за циљ да примени штетну ПоверСхелл скрипту коришћењем софистицираних техника друштвеног инжењеринга како би преварила кориснике да покрену скрипту и компромитују своје системе. Истраживачи прате ову иновативну пхисхинг и кампању преузимања, коју су назвали ОнеДриве Пастејацкинг.
Преглед садржаја
Нападачи имитирају ОнеДриве да би преварили жртве
Напад почиње е-поштом која садржи ХТМЛ датотеку која, када се отвори, представља слику која имитира ОнеДриве страницу и приказује поруку о грешци у којој се наводи: „Повезивање са 'ОнеДриве' услугом у облаку није успело. Да бисте решили овај проблем, ручно ажурирајте ДНС кеш."
Имејл нуди две опције: „Како да поправим” и „Детаљи“. Веза „Детаљи“ упућује кориснике на оригиналну страницу Мицрософт Леарн о решавању проблема са ДНС-ом.
Међутим, клик на „Како да поправим“ води кориснике кроз низ корака који укључују притисак на „Виндовс тастер + Кс“ за приступ менију за брзу везу, отварање ПоверСхелл терминала и лепљење команде кодиране у Басе64 намењене решавању проблема.
Ова команда прво извршава ипцонфиг /флусхднс, а затим креира фасциклу под називом 'довнлоадс' на Ц: диску. Наставља се преузимањем архивске датотеке у ову фасциклу, преименовањем је, издвајањем њеног садржаја (који укључује 'сцрипт.а3к' и 'АутоИт3.еке') и покретањем 'сцрипт.а3к' са 'АутоИт3.еке'.
Тактике пхисхинга усвајају нове трикове
Откривена је да ОнеДриве Пастејацкинг пхисхинг кампања циља кориснике широм САД, Јужне Кореје, Немачке, Индије, Ирске, Италије, Норвешке и УК
Ово откриће прати претходна истраживања сличних тактика пхисхинг-а, познатих као ЦлицкФик, које постају све чешће.
Поред тога, појавила се нова шема друштвеног инжењеринга заснована на е-пошти, која дистрибуира лажне датотеке пречица за Виндовс које покрећу злонамерне садржаје који се налазе на Дисцорд-овој мрежи за испоруку садржаја (ЦДН).
Нападачи су искориштавају легитимне налоге
Пецајуће кампање све више користе е-поруке са везама до Мицрософт Оффице Формс-а са компромитованих легитимних налога како би преваром навели циљеве да открију своје Мицрософт 365 акредитиве за пријаву. Изговор често укључује враћање Оутлоок порука.
Нападачи дизајнирају убедљиве обрасце на Мицрософт Оффице обрасцима, уграђујући несигурне везе у њих. Ови обрасци се шаљу масовно путем е-поште, маскирајући се у легитимне захтеве, као што су промене лозинке или приступ важним документима, често имитирајући поуздане платформе као што су Адобе или Мицрософт СхареПоинт.
Поред тога, други покушаји пхисхинга су користили мамац са темом фактура како би намамили жртве да унесу своје акредитиве на странице за пхисхинг хостоване на Цлоудфларе Р2, при чему се прикупљене информације шаљу нападачима преко Телеграм бота.
Јасно је да противници непрестано истражују нове методе да заобиђу безбедне пролазе е-поште (СЕГ) како би повећали стопу успешности својих напада.
