Comment ne pas tomber dans le piège du phishing OneDrive
Les chercheurs en cybersécurité ont identifié une nouvelle campagne de phishing ciblant les utilisateurs de Microsoft OneDrive. Cette campagne vise à exécuter un script PowerShell malveillant, compromettant les systèmes des utilisateurs. Rafael Pena, chercheur en sécurité chez Trellix, a partagé son point de vue sur cette menace, que la société de cybersécurité suit sous le nom de OneDrive Pastejacking.
Table of Contents
L’ingénierie sociale à la base
La campagne OneDrive Pastejacking s'appuie fortement sur des tactiques d'ingénierie sociale. Les utilisateurs reçoivent un e-mail contenant un fichier HTML qui imite une page d'erreur OneDrive. Le message d'erreur suggère que l'utilisateur doit mettre à jour le cache DNS manuellement pour résoudre le problème.
Lors de l'ouverture du fichier HTML, les utilisateurs se voient proposer deux options : "Comment réparer" et "Détails". Alors que l'option « Détails » dirige les utilisateurs vers une page Microsoft Learn légitime sur le dépannage DNS, l'option « Comment résoudre le problème » les guide à travers une série d'étapes. Ces étapes incluent l'ouverture du terminal PowerShell et le collage d'une commande codée en Base64.
Exécution de commandes malveillantes
La commande exécute d'abord ipconfig /flushdns, puis crée un dossier nommé « téléchargements » sur le lecteur C:. Il procède au téléchargement d'un fichier d'archive, extrait son contenu (script.a3x et AutoIt3.exe) et exécute script.a3x à l'aide d'AutoIt3.exe.
Portée mondiale
Cette campagne a été observée ciblant des utilisateurs dans plusieurs pays, notamment aux États-Unis, en Corée du Sud, en Allemagne, en Inde, en Irlande, en Italie, en Norvège et au Royaume-Uni. Des conclusions similaires de ReliaQuest, Proofpoint et McAfee Labs indiquent que de telles attaques de phishing sont de plus en plus répandues. .
Évolution des techniques de phishing
La découverte de cette campagne s'accompagne d'une autre attaque d'ingénierie sociale par courrier électronique distribuant de faux fichiers de raccourci Windows. Ceux-ci conduisent à des charges utiles malveillantes hébergées sur le réseau de diffusion de contenu (CDN) de Discord. De plus, les campagnes de phishing envoient de plus en plus d'e-mails contenant des liens vers Microsoft Office Forms pour récolter les informations de connexion Microsoft 365.
Formulaires trompeurs et leurres de facture
Les attaquants créent des formulaires d'apparence légitime sur Microsoft Office Forms, intégrant des liens malveillants et les envoyant en masse par courrier électronique. Ces e-mails semblent être des demandes légitimes, comme changer de mot de passe ou accéder à des documents importants. D'autres campagnes de phishing utilisent des leurres sur le thème des factures, incitant les victimes à partager leurs informations d'identification sur des pages hébergées sur Cloudflare R2, avec des données exfiltrées via un robot Telegram.
Contourner les passerelles de messagerie sécurisées
Les adversaires cherchent continuellement des moyens de contourner les passerelles de messagerie sécurisées (SEG). Un récent rapport de Cofense souligne comment les attaquants abusent de l'analyse SEG des pièces jointes d'archives ZIP pour diffuser le voleur d'informations Formbook via DBatLoader. Cela implique de déguiser les charges utiles HTML en fichiers MPEG, que de nombreux extracteurs d'archives et SEG interprètent mal, permettant ainsi aux fichiers malveillants d'échapper à la détection.
L’évolution des tactiques des campagnes de phishing souligne l’importance de la vigilance et de mesures de sécurité avancées. Les utilisateurs doivent se méfier des e-mails inattendus et vérifier minutieusement l'authenticité de toute instruction avant d'exécuter des commandes ou de fournir des informations sensibles.
