OneDrive Phishing-bedrägeri
Cybersäkerhetsexperter har varnat för en ny nätfiskekampanj riktad mot Microsoft OneDrive-användare. Den här kampanjen syftar till att distribuera ett skadligt PowerShell-skript genom att använda sofistikerade sociala ingenjörstekniker för att lura användare att köra skriptet och äventyra deras system. Forskarna övervakar denna innovativa nätfiske- och nedladdningskampanj, som de har kallat OneDrive Pastejacking.
Innehållsförteckning
Angriparna imiterar OneDrive för att lura offer
Attacken börjar med ett e-postmeddelande som innehåller en HTML-fil som, när den öppnas, visar en bild som efterliknar en OneDrive-sida och visar ett felmeddelande som säger: "Det gick inte att ansluta till molntjänsten 'OneDrive'. För att lösa problemet, uppdatera DNS manuellt cache."
E-postmeddelandet innehåller två alternativ: "Hur du åtgärdar" och "Detaljer." Länken "Detaljer" leder användarna till en äkta Microsoft Learn-sida om DNS-felsökning.
Men att klicka på "Hur man åtgärdar" leder användarna genom en rad steg som involverar att trycka på "Windows Key + X" för att komma åt snabblänksmenyn, öppna PowerShell-terminalen och klistra in ett Base64-kodat kommando avsett att åtgärda problemet.
Detta kommando kör först ipconfig /flushdns och skapar sedan en mapp med namnet 'downloads' på C:-enheten. Det fortsätter genom att ladda ner en arkivfil till den här mappen, döpa om den, extrahera dess innehåll (som inkluderar 'script.a3x' och 'AutoIt3.exe') och köra 'script.a3x' med 'AutoIt3.exe'.
Nätfisketaktik antar nya trick
OneDrive Pastejacking-nätfiskekampanjen har upptäckts riktad mot användare över hela USA, Sydkorea, Tyskland, Indien, Irland, Italien, Norge och Storbritannien
Denna upptäckt följer tidigare forskning om liknande nätfisketaktik, känd som ClickFix, som blir allt vanligare.
Dessutom har ett nytt e-postbaserat social ingenjörskonst uppstått, som distribuerar falska Windows-genvägsfiler som utlöser skadliga nyttolaster på Discords Content Delivery Network (CDN).
Angriparna utnyttjar legitima konton
Nätfiskekampanjer använder allt oftare e-postmeddelanden med länkar till Microsoft Office-formulär från intrångade legitima konton för att lura mål att avslöja deras Microsoft 365-inloggningsuppgifter. Förevändningen handlar ofta om att återställa Outlook-meddelanden.
Angripare designar övertygande formulär på Microsoft Office-formulär och bäddar in osäkra länkar i dem. De här formulären skickas i bulk via e-post, och maskeras som legitima förfrågningar, såsom lösenordsändringar eller tillgång till viktiga dokument, som ofta imiterar betrodda plattformar som Adobe eller Microsoft SharePoint.
Dessutom har andra nätfiskeförsök använt bete med fakturatema för att locka offer att ange sina referenser på nätfiskesidor på Cloudflare R2, där den insamlade informationen skickas till angriparna via en Telegram-bot.
Det är uppenbart att motståndare ständigt utforskar nya metoder för att kringgå Secure Email Gateways (SEG) för att öka framgångsfrekvensen för sina attacker.
