Lừa đảo lừa đảo OneDrive

Các chuyên gia an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới nhắm vào người dùng Microsoft OneDrive. Chiến dịch này nhằm mục đích triển khai tập lệnh PowerShell có hại bằng cách sử dụng các kỹ thuật lừa đảo xã hội tinh vi để lừa người dùng chạy tập lệnh và xâm phạm hệ thống của họ. Các nhà nghiên cứu đang theo dõi chiến dịch lừa đảo và tải xuống đầy sáng tạo này mà họ gọi là OneDrive Pastejacking.

Những kẻ tấn công bắt chước OneDrive để lừa nạn nhân

Cuộc tấn công bắt đầu bằng một email chứa tệp HTML mà khi mở ra sẽ hiển thị hình ảnh bắt chước trang OneDrive và hiển thị thông báo lỗi cho biết: "Không thể kết nối với dịch vụ đám mây 'OneDrive'. Để giải quyết vấn đề này, hãy cập nhật DNS theo cách thủ công bộ nhớ đệm."

Email cung cấp hai tùy chọn: 'Cách khắc phục' và 'Chi tiết'. Liên kết 'Chi tiết' hướng người dùng đến trang Microsoft Learn chính hãng về khắc phục sự cố DNS.

Tuy nhiên, việc nhấp vào 'Cách khắc phục' sẽ dẫn người dùng qua một loạt các bước liên quan đến việc nhấn 'Phím Windows + X' để truy cập menu Liên kết nhanh, mở thiết bị đầu cuối PowerShell và dán lệnh được mã hóa Base64 nhằm khắc phục sự cố.

Lệnh này trước tiên thực thi ipconfig /flushdns, sau đó tạo thư mục có tên 'downloads' trên ổ C:. Nó tiến hành bằng cách tải tệp lưu trữ xuống thư mục này, đổi tên, trích xuất nội dung của nó (bao gồm 'script.a3x' và 'AutoIt3.exe') và chạy 'script.a3x' với 'AutoIt3.exe.'

Chiến thuật lừa đảo đang áp dụng các thủ thuật mới

Chiến dịch lừa đảo OneDrive Pastejacking đã được phát hiện nhắm mục tiêu vào người dùng trên khắp Hoa Kỳ, Hàn Quốc, Đức, Ấn Độ, Ireland, Ý, Na Uy và Vương quốc Anh

Phát hiện này tiếp nối nghiên cứu trước đây về các chiến thuật lừa đảo tương tự, được gọi là ClickFix, đang trở nên phổ biến hơn.

Ngoài ra, một kế hoạch kỹ thuật xã hội dựa trên email mới đã xuất hiện, phân phối các tệp lối tắt Windows giả mạo kích hoạt các tải trọng độc hại được lưu trữ trên Mạng phân phối nội dung (CDN) của Discord.

Những kẻ tấn công đang khai thác các tài khoản hợp pháp

Các chiến dịch lừa đảo ngày càng sử dụng email có liên kết đến Microsoft Office Forms từ các tài khoản hợp pháp bị xâm nhập để lừa mục tiêu tiết lộ thông tin đăng nhập Microsoft 365 của họ. Lý do thường liên quan đến việc khôi phục các tin nhắn Outlook.

Những kẻ tấn công thiết kế các biểu mẫu thuyết phục trên Microsoft Office Forms, nhúng các liên kết không an toàn vào trong chúng. Các biểu mẫu này được gửi hàng loạt qua email, giả dạng các yêu cầu hợp pháp, chẳng hạn như thay đổi mật khẩu hoặc truy cập các tài liệu quan trọng, thường bắt chước các nền tảng đáng tin cậy như Adobe hoặc Microsoft SharePoint.

Ngoài ra, các nỗ lực lừa đảo khác đã sử dụng mồi nhử theo chủ đề hóa đơn để dụ nạn nhân nhập thông tin đăng nhập của họ trên các trang lừa đảo được lưu trữ trên Cloudflare R2, với thông tin thu thập được sẽ được gửi đến những kẻ tấn công thông qua bot Telegram.

Rõ ràng là kẻ thù đang liên tục khám phá các phương pháp mới để vượt qua Cổng Email Bảo mật (SEG) nhằm nâng cao tỷ lệ thành công cho các cuộc tấn công của chúng.