Фішинг OneDrive
Експерти з кібербезпеки попередили про нову фішингову кампанію, націлену на користувачів Microsoft OneDrive. Ця кампанія спрямована на розгортання шкідливого сценарію PowerShell за допомогою складних методів соціальної інженерії, щоб обманом змусити користувачів запустити сценарій і скомпрометувати їхні системи. Дослідники стежать за цією інноваційною кампанією фішингу та завантажувачів, яку вони назвали OneDrive Pastejacking.
Зміст
Зловмисники імітують OneDrive, щоб обдурити жертв
Атака починається з електронного листа, що містить HTML-файл, який під час відкриття представляє зображення, що імітує сторінку OneDrive, і відображає повідомлення про помилку: «Не вдалося підключитися до хмарної служби «OneDrive». Щоб вирішити цю проблему, вручну оновіть DNS кеш."
Електронний лист містить два варіанти: «Як виправити» та «Деталі». Посилання «Деталі» спрямовує користувачів на справжню сторінку Microsoft Learn щодо усунення несправностей DNS.
Однак, натиснувши «Як виправити», користувачі виконують низку кроків, які передбачають натискання клавіші Windows + X для доступу до меню швидкого посилання, відкриття терміналу PowerShell і вставлення команди, закодованої Base64, призначеної для вирішення проблеми.
Ця команда спочатку виконує ipconfig /flushdns, а потім створює папку з назвою «завантаження» на диску C:. Він завантажує архівний файл у цю папку, перейменовує його, витягує його вміст (зокрема «script.a3x» і «AutoIt3.exe») і запускає «script.a3x» з «AutoIt3.exe».
Тактика фішингу застосовує нові прийоми
Виявлено фішингову кампанію OneDrive Pastejacking, націлену на користувачів у США, Південній Кореї, Німеччині, Індії, Ірландії, Італії, Норвегії та Великобританії.
Це відкриття стало результатом попередніх досліджень подібної тактики фішингу, відомої як ClickFix, яка стає все більш поширеною.
Крім того, з’явилася нова схема соціальної інженерії на основі електронної пошти, яка розповсюджує підроблені файли ярликів Windows, які запускають шкідливі корисні навантаження, розміщені в мережі доставки вмісту (CDN) Discord.
Зловмисники використовують законні облікові записи
Фішингові кампанії все частіше використовують електронні листи з посиланнями на Microsoft Office Forms зі зламаних законних облікових записів, щоб обманом змусити цільові особи розкрити свої облікові дані для входу в Microsoft 365. Приводом часто є відновлення повідомлень Outlook.
Зловмисники створюють переконливі форми на Microsoft Office Forms, вставляючи в них небезпечні посилання. Ці форми масово надсилаються електронною поштою, маскуючись під законні запити, як-от зміна пароля або доступ до важливих документів, часто імітуючи надійні платформи, такі як Adobe або Microsoft SharePoint.
Крім того, інші спроби фішингу використовували приманку на тему рахунків-фактур, щоб спонукати жертв ввести свої облікові дані на фішингових сторінках, розміщених на Cloudflare R2, при цьому зібрана інформація надсилалася зловмисникам через бота Telegram.
Зрозуміло, що зловмисники постійно досліджують нові методи обходу захищених шлюзів електронної пошти (SEG), щоб підвищити рівень успіху своїх атак.
