So fallen Sie nicht auf den OneDrive-Phishing-Betrug herein

Cybersicherheitsforscher haben eine neue Phishing-Kampagne identifiziert, die auf Microsoft OneDrive-Benutzer abzielt. Ziel dieser Kampagne ist die Ausführung eines bösartigen PowerShell-Skripts, das die Systeme der Benutzer kompromittiert. Trellix-Sicherheitsforscher Rafael Pena teilte Erkenntnisse zu dieser Bedrohung, die das Cybersicherheitsunternehmen unter dem Namen OneDrive Pastejacking verfolgt.

Social Engineering im Kern

Die OneDrive Pastejacking-Kampagne setzt stark auf Social-Engineering-Taktiken. Benutzer erhalten eine E-Mail mit einer HTML-Datei, die einer OneDrive-Fehlerseite ähnelt. Die Fehlermeldung schlägt dem Benutzer vor, den DNS-Cache manuell zu aktualisieren, um das Problem zu beheben.

Beim Öffnen der HTML-Datei werden den Benutzern zwei Optionen angezeigt: „So beheben Sie das Problem“ und „Details“. Während die Option „Details“ die Benutzer auf eine legitime Microsoft Learn-Seite zur Fehlerbehebung bei DNS weiterleitet, führt die Option „So beheben Sie das Problem“ sie durch eine Reihe von Schritten. Zu diesen Schritten gehören das Öffnen des PowerShell-Terminals und das Einfügen eines Base64-codierten Befehls.

Bösartige Befehlsausführung

Der Befehl führt zuerst ipconfig /flushdns aus und erstellt dann einen Ordner mit dem Namen „downloads“ auf dem Laufwerk C:. Anschließend lädt er eine Archivdatei herunter, extrahiert deren Inhalt (script.a3x und AutoIt3.exe) und führt script.a3x mithilfe von AutoIt3.exe aus.

Globale Reichweite

Es wurde beobachtet, dass diese Kampagne auf Benutzer in zahlreichen Ländern abzielte, darunter in den USA, Südkorea, Deutschland, Indien, Irland, Italien, Norwegen und Großbritannien. Ähnliche Ergebnisse von ReliaQuest, Proofpoint und McAfee Labs deuten darauf hin, dass derartige Phishing-Angriffe immer häufiger vorkommen.

Neue Phishing-Techniken

Die Entdeckung dieser Kampagne erfolgt parallel zu einem weiteren E-Mail-basierten Social-Engineering-Angriff, bei dem gefälschte Windows-Verknüpfungsdateien verbreitet werden. Diese führen zu bösartigen Payloads, die auf Discords Content Delivery Network (CDN) gehostet werden. Darüber hinaus versenden Phishing-Kampagnen zunehmend E-Mails mit Links zu Microsoft Office-Formularen, um Microsoft 365-Anmeldeinformationen abzugreifen.

Irreführende Formulare und Rechnungsköder

Angreifer erstellen legitim aussehende Formulare in Microsoft Office Forms, betten bösartige Links ein und versenden sie massenhaft per E-Mail. Diese E-Mails sehen aus wie legitime Anfragen, beispielsweise zum Ändern von Passwörtern oder zum Zugriff auf wichtige Dokumente. Andere Phishing-Kampagnen verwenden rechnungsbezogene Köder und verleiten die Opfer dazu, Anmeldeinformationen auf Seiten freizugeben, die auf Cloudflare R2 gehostet werden. Die Daten werden dann über einen Telegram-Bot exfiltriert.

Umgehen sicherer E-Mail-Gateways

Angreifer suchen ständig nach Möglichkeiten, Secure Email Gateways (SEGs) zu umgehen. Ein aktueller Cofense-Bericht zeigt, wie Angreifer das SEG-Scannen von ZIP-Archivanhängen missbrauchen, um den Formbook-Informationsdieb über DBatLoader einzuschleusen. Dabei werden HTML-Nutzdaten als MPEG-Dateien getarnt, die von vielen Archivextraktoren und SEGs falsch interpretiert werden, sodass die bösartigen Dateien nicht erkannt werden.

Die sich entwickelnden Taktiken von Phishing-Kampagnen unterstreichen die Bedeutung von Wachsamkeit und fortschrittlichen Sicherheitsmaßnahmen. Benutzer sollten bei unerwarteten E-Mails vorsichtig sein und die Echtheit aller Anweisungen sorgfältig überprüfen, bevor sie Befehle ausführen oder vertrauliche Informationen angeben.