OneDrive Kimlik Avı Dolandırıcılığı
Siber güvenlik uzmanları, Microsoft OneDrive kullanıcılarını hedef alan yeni bir kimlik avı kampanyası hakkında uyarıda bulundu. Bu kampanya, kullanıcıları komut dosyasını çalıştırmaya ve sistemlerini tehlikeye atmaya ikna etmek için gelişmiş sosyal mühendislik teknikleri kullanarak zararlı bir PowerShell komut dosyasını dağıtmayı amaçlıyor. Araştırmacılar, OneDrive Pastejacking adını verdikleri bu yenilikçi kimlik avı ve indirme kampanyasını izliyorlar.
İçindekiler
Saldırganlar Kurbanları Kandırmak İçin OneDrive’ı Taklit Ediyor
Saldırı, açıldığında OneDrive sayfasını taklit eden bir resim sunan ve şunu belirten bir hata mesajı görüntüleyen bir HTML dosyası içeren bir e-postayla başlar: "'OneDrive' bulut hizmetine bağlanılamadı. Bu sorunu çözmek için DNS'yi manuel olarak güncelleyin. önbellek."
E-posta iki seçenek sunar: 'Nasıl düzeltilir' ve 'Ayrıntılar'. 'Ayrıntılar' bağlantısı, kullanıcıları DNS sorun gidermeyle ilgili orijinal Microsoft Learn sayfasına yönlendirir.
Ancak, 'Nasıl düzeltilir' seçeneğine tıklamak, kullanıcıları Hızlı Bağlantı menüsüne erişmek için 'Windows Tuşu + X'e basmayı, PowerShell terminalini açmayı ve sorunu düzeltmeyi amaçlayan Base64 kodlu bir komutu yapıştırmayı içeren bir dizi adımdan geçirir.
Bu komut önce ipconfig /flushdns komutunu çalıştırır, ardından C: sürücüsünde 'downloads' adlı bir klasör oluşturur. Bu klasöre bir arşiv dosyası indirerek, yeniden adlandırarak, içeriğini çıkararak ('script.a3x' ve 'AutoIt3.exe' dahil) ve 'script.a3x'i 'AutoIt3.exe' ile çalıştırarak devam eder.
Kimlik Avı Taktikleri Yeni Hileler Benimsiyor
OneDrive Pastejacking kimlik avı kampanyasının ABD, Güney Kore, Almanya, Hindistan, İrlanda, İtalya, Norveç ve Birleşik Krallık'taki kullanıcıları hedef aldığı tespit edildi
Bu keşif, ClickFix olarak bilinen ve giderek yaygınlaşan benzer kimlik avı taktikleri üzerine yapılan önceki araştırmaların ardından geldi.
Ek olarak, Discord'un İçerik Dağıtım Ağı'nda (CDN) barındırılan kötü amaçlı yükleri tetikleyen sahte Windows kısayol dosyalarını dağıtan yeni bir e-posta tabanlı sosyal mühendislik planı ortaya çıktı.
Saldırganlar Meşru Hesapları İstismar Ediyor
Kimlik avı kampanyaları, hedeflerini Microsoft 365 oturum açma kimlik bilgilerini açığa çıkaracak şekilde kandırmak için, ele geçirilmiş yasal hesaplardan Microsoft Office Formlarına bağlantı içeren e-postaları giderek daha fazla kullanıyor. Bahane genellikle Outlook mesajlarının geri yüklenmesini içerir.
Saldırganlar, Microsoft Office Forms'ta ikna edici formlar tasarlayarak bunların içine güvenli olmayan bağlantılar yerleştirir. Bu formlar e-posta yoluyla toplu olarak gönderilir, şifre değişikliği veya önemli belgelere erişim gibi meşru talepler gibi görünerek genellikle Adobe veya Microsoft SharePoint gibi güvenilir platformları taklit eder.
Ek olarak, diğer kimlik avı girişimlerinde, kurbanların kimlik bilgilerini Cloudflare R2'de barındırılan kimlik avı sayfalarına girmelerini sağlamak için fatura temalı yem kullanılmış ve toplanan bilgiler bir Telegram botu aracılığıyla saldırganlara gönderilmiştir.
Saldırganların, saldırılarının başarı oranını artırmak amacıyla Güvenli E-posta Ağ Geçitlerini (SEG'ler) atlatmak için sürekli olarak yeni yöntemler araştırdıkları açıktır.
