OneDrive 网络钓鱼诈骗
网络安全专家警告称,一项针对 Microsoft OneDrive 用户的新网络钓鱼活动正在进行中。该活动旨在通过采用复杂的社会工程技术来部署有害的 PowerShell 脚本,诱骗用户运行该脚本并破坏其系统。研究人员正在监控这一创新的网络钓鱼和下载器活动,他们将其称为 OneDrive Pastejacking。
目录
攻击者模仿 OneDrive 来欺骗受害者
攻击始于一封包含 HTML 文件的电子邮件,该文件打开后会显示一个模仿 OneDrive 页面的图像并显示一条错误消息:“无法连接到‘OneDrive’云服务。要解决此问题,请手动更新 DNS 缓存。”
该电子邮件提供了两个选项:“如何修复”和“详细信息”。 “详细信息”链接将用户引导至有关 DNS 故障排除的正版 Microsoft Learn 页面。
但是,单击“如何修复”会引导用户完成一系列步骤,包括按“Windows 键 + X”访问快速链接菜单、打开 PowerShell 终端以及粘贴用于修复问题的 Base64 编码命令。
此命令首先执行 ipconfig /flushdns,然后在 C: 盘上创建一个名为“downloads”的文件夹。接下来,它将存档文件下载到此文件夹中,重命名它,提取其内容(包括“script.a3x”和“AutoIt3.exe”),然后使用“AutoIt3.exe”运行“script.a3x”。
网络钓鱼策略正在采用新技巧
已检测到 OneDrive Pastejacking 网络钓鱼活动针对美国、韩国、德国、印度、爱尔兰、意大利、挪威和英国的用户
这一发现与之前对类似的网络钓鱼策略(称为 ClickFix)的研究一致,这种策略正变得越来越普遍。
此外,还出现了一种基于电子邮件的新型社会工程方案,它分发伪造的 Windows 快捷方式文件,触发托管在 Discord 内容分发网络 (CDN) 上的恶意负载。
攻击者利用合法账户
网络钓鱼活动越来越多地使用来自受感染合法帐户的带有 Microsoft Office Forms 链接的电子邮件来诱骗目标泄露其 Microsoft 365 登录凭据。借口通常涉及恢复 Outlook 消息。
攻击者在 Microsoft Office Forms 上设计令人信服的表单,并在其中嵌入不安全的链接。这些表单通过电子邮件批量发送,伪装成合法请求(例如密码更改或访问重要文档),通常模仿 Adobe 或 Microsoft SharePoint 等受信任的平台。
此外,其他网络钓鱼尝试还使用以发票为主题的诱饵来诱骗受害者在托管在 Cloudflare R2 上的网络钓鱼页面上输入他们的凭据,并通过 Telegram 机器人将收集到的信息发送给攻击者。
显然,对手正在不断探索绕过安全电子邮件网关(SEG)的新方法,以提高攻击的成功率。
