Hogyan ne dőljön be a OneDrive adathalász csalásnak
A kiberbiztonsági kutatók új adathalász kampányt azonosítottak, amely a Microsoft OneDrive felhasználóit célozza meg. A kampány célja egy rosszindulatú PowerShell-szkript futtatása, amely veszélyezteti a felhasználók rendszereit. A Trellix biztonságkutatója, Rafael Pena megosztotta betekintést erről a fenyegetésről, amelyet a kiberbiztonsági cég OneDrive Pastejacking néven nyomon követ.
Table of Contents
A társadalmi tervezés a lényegében
A OneDrive Pastejacking kampány nagymértékben támaszkodik a social engineering taktikára. A felhasználók e-mailt kapnak, amely egy OneDrive-hibaoldalt utánzó HTML-fájlt tartalmaz. A hibaüzenet azt sugallja, hogy a felhasználónak manuálisan kell frissítenie a DNS-gyorsítótárat a probléma megoldásához.
A HTML-fájl megnyitásakor a felhasználók két lehetőség közül választhatnak: „Hogyan javítsuk” és „Részletek”. Míg a „Részletek” lehetőség a DNS hibaelhárításával foglalkozó legitim Microsoft Learn oldalra irányítja a felhasználókat, a „Javítás” opció egy sor lépésen vezeti végig őket. Ezek a lépések magukban foglalják a PowerShell terminál megnyitását és egy Base64 kódolású parancs beillesztését.
Rosszindulatú parancsvégrehajtás
A parancs először az ipconfig /flushdns fájlt futtatja, majd létrehoz egy "letöltések" nevű mappát a C: meghajtón. Ezután letölt egy archív fájlt, kibontja a tartalmát (script.a3x és AutoIt3.exe), és végrehajtja a script.a3x fájlt az AutoIt3.exe segítségével.
Global Reach
Ezt a kampányt több országban is megcélozták, köztük az Egyesült Államokban, Dél-Koreában, Németországban, Indiában, Írországban, Olaszországban, Norvégiában és az Egyesült Királyságban. A ReliaQuest, a Proofpoint és a McAfee Labs hasonló eredményei azt mutatják, hogy az ilyen adathalász támadások egyre elterjedtebbek. .
Fejlődő adathalászati technikák
A kampány felfedezése egy másik, e-mailen alapuló social engineering támadás mellett érkezik, amely hamis Windows parancsikonfájlokat terjeszt. Ezek rosszindulatú rakományokhoz vezetnek, amelyeket a Discord Content Delivery Network (CDN) tárol. Ezenkívül az adathalász kampányok egyre gyakrabban küldenek e-maileket a Microsoft Office Forms-ra mutató hivatkozásokkal, hogy begyűjtsék a Microsoft 365 bejelentkezési adatait.
Megtévesztő nyomtatványok és számlacsalik
A támadók jogosnak tűnő űrlapokat hoznak létre a Microsoft Office űrlapokon, rosszindulatú hivatkozásokat ágyaznak be, és tömegesen küldik el e-mailben. Úgy tűnik, hogy ezek az e-mailek jogos kérések, például jelszavak megváltoztatása vagy fontos dokumentumok elérése. Más adathalász kampányok számla-témájú csalókat használnak, és ráveszik az áldozatokat, hogy a Cloudflare R2-n tárolt oldalakon osszák meg hitelesítő adataikat, és az adatokat egy Telegram bot segítségével szűrjék ki.
A biztonságos e-mail átjárók megkerülése
Az ellenfelek folyamatosan keresik a módját a Secure Email Gateway (SEG) megkerülésének. Egy nemrégiben készült Cofense-jelentés rávilágít arra, hogy a támadók miként élnek vissza a ZIP-archívum mellékleteinek SEG-ellenőrzésével, hogy a DBatLoader-en keresztül kézbesítsék a Formbook információlopót. Ez azt jelenti, hogy a HTML-fájlokat MPEG-fájloknak álcázzák, amelyeket sok archív kibontó és SEG félreértelmez, lehetővé téve, hogy a rosszindulatú fájlok elkerüljék az észlelést.
Az adathalász kampányok fejlődő taktikái aláhúzzák az éberség és a fejlett biztonsági intézkedések fontosságát. A felhasználóknak óvakodniuk kell a váratlan e-mailektől, és alaposan ellenőrizniük kell az utasítások hitelességét, mielőtt parancsokat hajtanak végre vagy bizalmas információkat adnak meg.
