Hvordan man ikke falder for OneDrive Phishing-svindel
Cybersikkerhedsforskere har identificeret en ny phishing-kampagne rettet mod Microsoft OneDrive-brugere. Denne kampagne har til formål at udføre et ondsindet PowerShell-script, der kompromitterer brugernes systemer. Trellix-sikkerhedsforsker Rafael Pena delte indsigt i denne trussel, som cybersikkerhedsfirmaet sporer under navnet OneDrive Pastejacking.
Table of Contents
Social Engineering i sin kerne
OneDrive Pastejacking-kampagnen er stærkt afhængig af social engineering taktik. Brugere modtager en e-mail, der indeholder en HTML-fil, der efterligner en OneDrive-fejlside. Fejlmeddelelsen antyder, at brugeren skal opdatere DNS-cachen manuelt for at løse problemet.
Når du åbner HTML-filen, præsenteres brugerne for to muligheder: "Sådan repareres" og "Detaljer." Mens indstillingen "Detaljer" dirigerer brugerne til en legitim Microsoft Learn-side om fejlfinding af DNS, fører indstillingen "Sådan rettes" dem gennem en række trin. Disse trin inkluderer at åbne PowerShell-terminalen og indsætte en Base64-kodet kommando.
Ondsindet kommandoudførelse
Kommandoen kører først ipconfig /flushdns og opretter derefter en mappe med navnet "downloads" på C:-drevet. Den fortsætter med at downloade en arkivfil, udpakke dens indhold (script.a3x og AutoIt3.exe) og udføre script.a3x ved hjælp af AutoIt3.exe.
Global rækkevidde
Denne kampagne er blevet observeret målrettet mod brugere i flere lande, herunder USA, Sydkorea, Tyskland, Indien, Irland, Italien, Norge og Storbritannien. Lignende resultater fra ReliaQuest, Proofpoint og McAfee Labs indikerer, at sådanne phishing-angreb bliver stadig mere udbredte .
Udvikling af phishing-teknikker
Opdagelsen af denne kampagne kommer sammen med et andet e-mail-baseret social engineering-angreb, der distribuerer falske Windows-genvejsfiler. Disse fører til ondsindede nyttelaster, der hostes på Discords Content Delivery Network (CDN). Derudover sender phishing-kampagner i stigende grad e-mails med links til Microsoft Office Forms for at hente Microsoft 365-loginoplysninger.
Vildledende formularer og faktura lokker
Angribere skaber legitime formularer på Microsoft Office Forms, indlejrer ondsindede links og sender dem en masse via e-mail. Disse e-mails ser ud til at være legitime anmodninger, såsom ændring af adgangskoder eller adgang til vigtige dokumenter. Andre phishing-kampagner bruger lokker med fakturatema, der narrer ofre til at dele legitimationsoplysninger på sider hostet på Cloudflare R2, med data eksfiltreret via en Telegram-bot.
Omgåelse af sikre e-mail-gateways
Modstandere søger hele tiden måder at omgå Secure Email Gateways (SEG'er). En nylig Cofense-rapport fremhæver, hvordan angribere misbruger SEG-scanning af ZIP-arkivvedhæftede filer til at levere Formbook-informationstyveren via DBatLoader. Dette involverer forklædning af HTML-nyttelast som MPEG-filer, som mange arkivudtrækkere og SEG'er misfortolker, hvilket tillader de ondsindede filer at unddrage sig opdagelse.
Phishing-kampagnernes skiftende taktik understreger vigtigheden af årvågenhed og avancerede sikkerhedsforanstaltninger. Brugere bør være på vagt over for uventede e-mails og grundigt verificere ægtheden af eventuelle instruktioner, før de udfører kommandoer eller giver følsomme oplysninger.
