OneDrive Phishing Scam
Nagbabala ang mga eksperto sa cybersecurity tungkol sa isang bagong phishing campaign na nagta-target sa mga user ng Microsoft OneDrive. Nilalayon ng campaign na ito na mag-deploy ng mapaminsalang PowerShell script sa pamamagitan ng paggamit ng mga sopistikadong diskarte sa social engineering upang linlangin ang mga user na patakbuhin ang script at ikompromiso ang kanilang mga system. Sinusubaybayan ng mga mananaliksik ang makabagong kampanyang phishing at downloader na ito, na tinawag nilang OneDrive Pastejacking.
Talaan ng mga Nilalaman
Ginaya ng mga Attacker ang OneDrive para Manlangin ang mga Biktima
Ang pag-atake ay nagsisimula sa isang email na naglalaman ng isang HTML file na, kapag binuksan, ay nagpapakita ng isang imahe na ginagaya ang isang pahina ng OneDrive at nagpapakita ng isang mensahe ng error na nagsasabing: "Nabigong kumonekta sa 'OneDrive' na serbisyo sa cloud. Upang malutas ang isyung ito, manu-manong i-update ang DNS cache."
Nagbibigay ang email ng dalawang opsyon: 'Paano ayusin' at 'Mga Detalye.' Ang link na 'Mga Detalye' ay nagdidirekta sa mga user sa isang tunay na pahina ng Microsoft Learn sa pag-troubleshoot ng DNS.
Gayunpaman, ang pag-click sa 'Paano ayusin' ay humahantong sa mga user sa isang serye ng mga hakbang na kinabibilangan ng pagpindot sa 'Windows Key + X' upang ma-access ang menu ng Quick Link, pagbubukas ng PowerShell terminal, at pag-paste ng isang Base64-encoded na command na nilayon upang ayusin ang isyu.
Ang command na ito ay unang nagpapatupad ng ipconfig /flushdns, pagkatapos ay lumilikha ng isang folder na pinangalanang 'downloads' sa C: drive. Nagpapatuloy ito sa pamamagitan ng pag-download ng archive file sa folder na ito, pagpapalit ng pangalan nito, pagkuha ng mga nilalaman nito (na kinabibilangan ng 'script.a3x' at 'AutoIt3.exe'), at pagpapatakbo ng 'script.a3x' gamit ang 'AutoIt3.exe.'
Ang Phishing Tactics ay Gumagamit ng Mga Bagong Trick
Ang OneDrive Pastejacking phishing campaign ay natukoy na nagta-target ng mga user sa buong US, South Korea, Germany, India, Ireland, Italy, Norway, at UK
Ang pagtuklas na ito ay sumusunod sa nakaraang pananaliksik sa mga katulad na taktika sa phishing, na kilala bilang ClickFix, na nagiging mas karaniwan.
Bukod pa rito, lumitaw ang isang bagong iskema ng social engineering na nakabatay sa email, na namamahagi ng mga pekeng Windows shortcut file na nagti-trigger ng mga nakakahamak na payload na naka-host sa Discord's Content Delivery Network (CDN).
Ang Mga Attacker ay Nagsasamantala sa Mga Lehitimong Account
Ang mga kampanya ng phishing ay lalong gumagamit ng mga email na may mga link sa Mga Form ng Microsoft Office mula sa mga nakompromisong lehitimong account upang linlangin ang mga target na ibunyag ang kanilang mga kredensyal sa pag-log in sa Microsoft 365. Ang dahilan ay madalas na nagsasangkot ng pagpapanumbalik ng mga mensahe sa Outlook.
Ang mga attacker ay nagdidisenyo ng mga nakakumbinsi na form sa Microsoft Office Forms, na naglalagay ng mga hindi ligtas na link sa loob ng mga ito. Ang mga form na ito ay ipinapadala nang maramihan sa pamamagitan ng email, na nagpapanggap bilang mga lehitimong kahilingan, tulad ng mga pagbabago sa password o pag-access sa mga mahahalagang dokumento, kadalasang ginagaya ang mga pinagkakatiwalaang platform tulad ng Adobe o Microsoft SharePoint.
Bilang karagdagan, ang iba pang mga pagtatangka sa phishing ay gumamit ng pain na may temang invoice upang akitin ang mga biktima na ipasok ang kanilang mga kredensyal sa mga pahina ng phishing na naka-host sa Cloudflare R2, kasama ang nakolektang impormasyon na ipinadala sa mga umaatake sa pamamagitan ng Telegram bot.
Malinaw na ang mga kalaban ay patuloy na nag-e-explore ng mga bagong paraan upang i-bypass ang Mga Secure Email Gateways (SEGs) upang mapahusay ang rate ng tagumpay ng kanilang mga pag-atake.
