OneDrive 網路釣魚詐騙

網路安全專家警告稱，針對 Microsoft OneDrive 用戶的新網路釣魚活動。該活動旨在透過採用複雜的社會工程技術來部署有害的 PowerShell 腳本，以誘騙用戶運行該腳本並損害其係統。研究人員正在監控這種創新的網路釣魚和下載活動，他們稱之為 OneDrive Pastejacking。

攻擊者模仿 OneDrive 欺騙受害者

The attack starts with an email containing an HTML file that, when opened, presents an image mimicking a OneDrive page and displays an error message stating: "Failed to connect to the 'OneDrive' cloud service. To resolve this issue, manually update the DNS快取."

該電子郵件提供兩個選項：「如何修復」和「詳細資料」。 「詳細資料」連結將使用者引導至有關 DNS 故障排除的正版 Microsoft Learn 頁面。

但是，按一下「如何修復」會引導使用者完成一系列步驟，包括按下「Windows 鍵 + X」存取「快速連結」功能表、開啟 PowerShell 終端機以及貼上旨在修復問題的 Base64 編碼命令。

這個指令先執行 ipconfig /flushdns，然後在 C: 磁碟機上建立一個名為「downloads」的資料夾。接下來，將檔案檔案下載到此資料夾中，重命名它，提取其內容（包括「script.a3x」和「AutoIt3.exe」），然後使用「AutoIt3.exe」執行「script.a3x」。

網路釣魚策略正在採用新伎倆

已偵測到 OneDrive Pastejacking 網路釣魚活動針對美國、韓國、德國、印度、愛爾蘭、義大利、挪威和英國的用戶

這項發現是繼先前對類似網路釣魚策略（稱為 ClickFix）的研究之後發現的，這種策略正變得越來越普遍。

此外，還出現了一種新的基於電子郵件的社會工程計劃，該計劃會分發虛假的 Windows 快捷方式文件，這些文件會觸發 Discord 內容交付網絡 (CDN) 上託管的惡意負載。

攻擊者利用合法帳戶

網路釣魚活動越來越多地使用帶有來自受感染合法帳戶的 Microsoft Office Forms 連結的電子郵件來誘騙目標洩露其 Microsoft 365 登入憑證。藉口通常涉及恢復 Outlook 郵件。

攻擊者在 Microsoft Office Forms 上設計令人信服的表單，並在其中嵌入不安全的連結。這些表單透過電子郵件大量發送，偽裝成合法請求，例如更改密碼或存取重要文檔，通常模仿 Adobe 或 Microsoft SharePoint 等可信任平台。

此外，其他網路釣魚嘗試也採用以發票為主題的誘餌來引誘受害者在 Cloudflare R2 託管的網路釣魚頁面上輸入其憑證，收集到的資訊透過 Telegram 機器人發送給攻擊者。

很明顯，攻擊者正在不斷探索繞過安全電子郵件閘道 (SEG) 的新方法，以提高攻擊的成功率。