Come non cadere nella truffa del phishing di OneDrive
I ricercatori di sicurezza informatica hanno identificato una nuova campagna di phishing rivolta agli utenti di Microsoft OneDrive. Questa campagna mira a eseguire uno script PowerShell dannoso, compromettendo i sistemi degli utenti. Rafael Pena, ricercatore di sicurezza di Trellix, ha condiviso approfondimenti su questa minaccia, che la società di sicurezza informatica sta monitorando con il nome OneDrive Pastejacking.
Table of Contents
L'ingegneria sociale al suo centro
La campagna OneDrive Pastejacking si basa fortemente su tattiche di ingegneria sociale. Gli utenti ricevono un'e-mail contenente un file HTML che imita una pagina di errore di OneDrive. Il messaggio di errore suggerisce che l'utente deve aggiornare manualmente la cache DNS per risolvere il problema.
All'apertura del file HTML, agli utenti vengono presentate due opzioni: "Come risolvere" e "Dettagli". Mentre l'opzione "Dettagli" indirizza gli utenti a una pagina legittima di Microsoft Learn sulla risoluzione dei problemi DNS, l'opzione "Come risolvere" li guida attraverso una serie di passaggi. Questi passaggi includono l'apertura del terminale PowerShell e l'incollaggio di un comando con codifica Base64.
Esecuzione di comandi dannosi
Il comando esegue prima ipconfig /flushdns, quindi crea una cartella denominata "downloads" sull'unità C:. Procede scaricando un file di archivio, estraendone il contenuto (script.a3x e AutoIt3.exe) ed esegue script.a3x utilizzando AutoIt3.exe.
Portata globale
È stato osservato che questa campagna prende di mira utenti in più paesi, tra cui Stati Uniti, Corea del Sud, Germania, India, Irlanda, Italia, Norvegia e Regno Unito Risultati simili di ReliaQuest, Proofpoint e McAfee Labs indicano che tali attacchi di phishing stanno diventando sempre più diffusi .
Tecniche di phishing in evoluzione
La scoperta di questa campagna si accompagna a un altro attacco di ingegneria sociale basato sulla posta elettronica che distribuisce file di collegamento di Windows fasulli. Ciò porta a payload dannosi ospitati sulla rete di distribuzione dei contenuti (CDN) di Discord. Inoltre, le campagne di phishing inviano sempre più spesso e-mail con collegamenti a Microsoft Office Forms per raccogliere credenziali di accesso a Microsoft 365.
Moduli ingannevoli e esche per fatture
Gli aggressori creano moduli dall'aspetto legittimo su Microsoft Office Forms, incorporando collegamenti dannosi e inviandoli in massa tramite e-mail. Queste e-mail sembrano essere richieste legittime, come la modifica delle password o l'accesso a documenti importanti. Altre campagne di phishing utilizzano esche a tema fattura, inducendo le vittime a condividere le credenziali su pagine ospitate su Cloudflare R2, con i dati esfiltrati tramite un bot di Telegram.
Bypassare i gateway di posta elettronica sicuri
Gli avversari cercano continuamente modi per aggirare i Secure Email Gateway (SEG). Un recente rapporto di Cofense evidenzia come gli aggressori abusano della scansione SEG degli allegati di archivi ZIP per fornire il ladro di informazioni Formbook tramite DBatLoader. Ciò implica mascherare i payload HTML come file MPEG, che molti estrattori di archivi e SEG interpretano erroneamente, consentendo ai file dannosi di eludere il rilevamento.
L’evoluzione delle tattiche delle campagne di phishing sottolinea l’importanza della vigilanza e delle misure di sicurezza avanzate. Gli utenti devono prestare attenzione alle e-mail inaspettate e verificare attentamente l'autenticità di qualsiasi istruzione prima di eseguire comandi o fornire informazioni sensibili.
