Cómo no caer en la estafa de phishing de OneDrive
Los investigadores de ciberseguridad han identificado una nueva campaña de phishing dirigida a usuarios de Microsoft OneDrive. Esta campaña tiene como objetivo ejecutar un script de PowerShell malicioso que comprometa los sistemas de los usuarios. El investigador de seguridad de Trellix, Rafael Peña, compartió información sobre esta amenaza, que la empresa de ciberseguridad está rastreando bajo el nombre OneDrive Pastejacking.
Table of Contents
Ingeniería social en su esencia
La campaña OneDrive Pastejacking se basa en gran medida en tácticas de ingeniería social. Los usuarios reciben un correo electrónico que contiene un archivo HTML que imita una página de error de OneDrive. El mensaje de error sugiere que el usuario necesita actualizar la caché de DNS manualmente para resolver el problema.
Al abrir el archivo HTML, a los usuarios se les presentan dos opciones: "Cómo solucionarlo" y "Detalles". Mientras que la opción "Detalles" dirige a los usuarios a una página legítima de Microsoft Learn sobre Solución de problemas de DNS, la opción "Cómo solucionarlo" los guía a través de una serie de pasos. Estos pasos incluyen abrir la terminal PowerShell y pegar un comando codificado en Base64.
Ejecución de comandos maliciosos
El comando primero ejecuta ipconfig /flushdns, luego crea una carpeta llamada "descargas" en la unidad C:. Procede a descargar un archivo, extrae su contenido (script.a3x y AutoIt3.exe) y ejecuta script.a3x usando AutoIt3.exe.
Alcance global
Se ha observado que esta campaña se dirige a usuarios de varios países, incluidos EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido. Hallazgos similares de ReliaQuest, Proofpoint y McAfee Labs indican que este tipo de ataques de phishing son cada vez más frecuentes. .
Técnicas de phishing en evolución
El descubrimiento de esta campaña se suma a otro ataque de ingeniería social basado en correo electrónico que distribuye archivos de acceso directo falsos de Windows. Estos conducen a cargas útiles maliciosas alojadas en la red de entrega de contenido (CDN) de Discord. Además, las campañas de phishing envían cada vez más correos electrónicos con enlaces a Microsoft Office Forms para recopilar credenciales de inicio de sesión de Microsoft 365.
Formularios engañosos y señuelos de facturas
Los atacantes crean formularios de apariencia legítima en Microsoft Office Forms, incorporan enlaces maliciosos y los envían en masa por correo electrónico. Estos correos electrónicos parecen ser solicitudes legítimas, como cambiar contraseñas o acceder a documentos importantes. Otras campañas de phishing utilizan señuelos con temas de facturas, engañando a las víctimas para que compartan credenciales en páginas alojadas en Cloudflare R2, con datos filtrados a través de un bot de Telegram.
Evitar puertas de enlace seguras de correo electrónico
Los adversarios buscan continuamente formas de eludir las puertas de enlace seguras de correo electrónico (SEG). Un informe reciente de Cofense destaca cómo los atacantes abusan del escaneo SEG de archivos adjuntos ZIP para entregar el ladrón de información Formbook a través de DBatLoader. Esto implica disfrazar cargas HTML como archivos MPEG, que muchos extractores de archivos y SEG malinterpretan, permitiendo que los archivos maliciosos evadan la detección.
La evolución de las tácticas de las campañas de phishing subraya la importancia de la vigilancia y las medidas de seguridad avanzadas. Los usuarios deben tener cuidado con los correos electrónicos inesperados y verificar minuciosamente la autenticidad de cualquier instrucción antes de ejecutar comandos o proporcionar información confidencial.
