Πώς να μην πέσετε στην απάτη του OneDrive Phishing

Ερευνητές κυβερνοασφάλειας εντόπισαν μια νέα καμπάνια ηλεκτρονικού ψαρέματος που στοχεύει χρήστες του Microsoft OneDrive. Αυτή η καμπάνια στοχεύει να εκτελέσει ένα κακόβουλο σενάριο PowerShell, που θέτει σε κίνδυνο τα συστήματα των χρηστών. Ο ερευνητής ασφάλειας της Trellix, Rafael Pena, μοιράστηκε πληροφορίες σχετικά με αυτήν την απειλή, την οποία παρακολουθεί η εταιρεία κυβερνοασφάλειας με το όνομα OneDrive Pastejacking.

Η Κοινωνική Μηχανική στον Πυρήνα της

Η καμπάνια OneDrive Pastejacking βασίζεται σε μεγάλο βαθμό σε τακτικές κοινωνικής μηχανικής. Οι χρήστες λαμβάνουν ένα email που περιέχει ένα αρχείο HTML που μιμείται μια σελίδα σφάλματος του OneDrive. Το μήνυμα σφάλματος υποδηλώνει ότι ο χρήστης πρέπει να ενημερώσει τη μνήμη cache DNS με μη αυτόματο τρόπο για να επιλύσει το πρόβλημα.

Με το άνοιγμα του αρχείου HTML, οι χρήστες παρουσιάζονται με δύο επιλογές: "Τρόπος επιδιόρθωσης" και "Λεπτομέρειες". Ενώ η επιλογή "Λεπτομέρειες" κατευθύνει τους χρήστες σε μια νόμιμη σελίδα Microsoft Learn για την αντιμετώπιση προβλημάτων DNS, η επιλογή "Τρόπος επιδιόρθωσης" τους οδηγεί σε μια σειρά βημάτων. Αυτά τα βήματα περιλαμβάνουν το άνοιγμα του τερματικού PowerShell και την επικόλληση μιας εντολής με κωδικοποίηση Base64.

Κακόβουλη εκτέλεση εντολών

Η εντολή εκτελεί πρώτα το ipconfig /flushdns και, στη συνέχεια, δημιουργεί έναν φάκελο με το όνομα "downloads" στη μονάδα δίσκου C:. Προχωρά στη λήψη ενός αρχείου αρχειοθέτησης, την εξαγωγή των περιεχομένων του (script.a3x και AutoIt3.exe) και την εκτέλεση του script.a3x χρησιμοποιώντας το AutoIt3.exe.

Παγκόσμια εμβέλεια

Αυτή η καμπάνια έχει παρατηρηθεί ότι στοχεύει χρήστες σε πολλές χώρες, συμπεριλαμβανομένων των ΗΠΑ, της Νότιας Κορέας, της Γερμανίας, της Ινδίας, της Ιρλανδίας, της Ιταλίας, της Νορβηγίας και του Ηνωμένου Βασιλείου. .

Εξέλιξη Τεχνικών Phishing

Η ανακάλυψη αυτής της καμπάνιας έρχεται παράλληλα με μια άλλη επίθεση κοινωνικής μηχανικής που βασίζεται σε email που διανέμει πλαστά αρχεία συντομεύσεων των Windows. Αυτά οδηγούν σε κακόβουλα ωφέλιμα φορτία που φιλοξενούνται στο Δίκτυο Παράδοσης Περιεχομένου (CDN) της Discord. Επιπλέον, οι καμπάνιες ηλεκτρονικού ψαρέματος στέλνουν ολοένα και περισσότερο μηνύματα ηλεκτρονικού ταχυδρομείου με συνδέσμους προς τις Φόρμες του Microsoft Office για τη συλλογή των διαπιστευτηρίων σύνδεσης του Microsoft 365.

Παραπλανητικά έντυπα και δέλεαρ τιμολογίων

Οι εισβολείς δημιουργούν φόρμες με νόμιμη εμφάνιση σε Φόρμες του Microsoft Office, ενσωματώνοντας κακόβουλους συνδέσμους και στέλνοντάς τους μαζικά μέσω email. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου φαίνεται να είναι νόμιμα αιτήματα, όπως αλλαγή κωδικών πρόσβασης ή πρόσβαση σε σημαντικά έγγραφα. Άλλες καμπάνιες ηλεκτρονικού ψαρέματος χρησιμοποιούν δολώματα με θέμα τιμολόγια, εξαπατώντας τα θύματα να μοιράζονται διαπιστευτήρια σε σελίδες που φιλοξενούνται στο Cloudflare R2, με δεδομένα που εξάγονται μέσω ενός bot Telegram.

Παράκαμψη ασφαλών πυλών ηλεκτρονικού ταχυδρομείου

Οι αντίπαλοι αναζητούν συνεχώς τρόπους για να παρακάμψουν τις ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEG). Μια πρόσφατη αναφορά Cofense υπογραμμίζει τον τρόπο με τον οποίο οι εισβολείς καταχρώνται τη σάρωση SEG των συνημμένων αρχείων ZIP για να παραδώσουν το πρόγραμμα κλοπής πληροφοριών Formbook μέσω του DBatLoader. Αυτό περιλαμβάνει την απόκρυψη ωφέλιμων φορτίων HTML ως αρχεία MPEG, τα οποία πολλοί εξαγωγείς αρχείων και SEG παρερμηνεύουν, επιτρέποντας στα κακόβουλα αρχεία να αποφύγουν τον εντοπισμό.

Οι εξελισσόμενες τακτικές των εκστρατειών phishing υπογραμμίζουν τη σημασία της επαγρύπνησης και των προηγμένων μέτρων ασφαλείας. Οι χρήστες θα πρέπει να είναι προσεκτικοί με απροσδόκητα email και να επαληθεύουν διεξοδικά την αυθεντικότητα οποιωνδήποτε οδηγιών πριν εκτελέσουν εντολές ή παρέχουν ευαίσθητες πληροφορίες.