OneDrive フィッシング詐欺に騙されない方法

サイバーセキュリティ研究者は、Microsoft OneDrive ユーザーを狙った新しいフィッシング キャンペーンを特定しました。このキャンペーンは、悪意のある PowerShell スクリプトを実行して、ユーザーのシステムを侵害することを目的としています。Trellix のセキュリティ研究者 Rafael Pena 氏は、サイバーセキュリティ企業が OneDrive Pastejacking という名前で追跡しているこの脅威に関する洞察を共有しました。

ソーシャルエンジニアリングの核心

OneDrive ペーストジャッキング キャンペーンは、ソーシャル エンジニアリング戦術に大きく依存しています。ユーザーは、OneDrive エラー ページを模倣した HTML ファイルを含む電子メールを受信します。エラー メッセージには、問題を解決するには DNS キャッシュを手動で更新する必要があることが示されます。

HTML ファイルを開くと、ユーザーには「修正方法」と「詳細」の 2 つのオプションが表示されます。「詳細」オプションを選択すると、DNS のトラブルシューティングに関する正当な Microsoft Learn ページにユーザーが誘導されますが、「修正方法」オプションを選択すると、一連の手順が示されます。これらの手順には、PowerShell ターミナルを開いて Base64 でエンコードされたコマンドを貼り付けることが含まれます。

悪意のあるコマンドの実行

このコマンドは、まず ipconfig /flushdns を実行し、次に C: ドライブに「downloads」という名前のフォルダを作成します。次に、アーカイブ ファイルをダウンロードし、その内容 (script.a3x と AutoIt3.exe) を抽出し、AutoIt3.exe を使用して script.a3x を実行します。

グローバルリーチ

このキャンペーンは、米国、韓国、ドイツ、インド、アイルランド、イタリア、ノルウェー、英国を含む複数の国のユーザーをターゲットにしていることが確認されています。ReliaQuest、Proofpoint、McAfee Labs による同様の調査結果によると、このようなフィッシング攻撃はますます蔓延しています。

進化するフィッシング手法

このキャンペーンの発見は、偽の Windows ショートカット ファイルを配布する別の電子メール ベースのソーシャル エンジニアリング攻撃と同時に行われました。これらは、Discord のコンテンツ配信ネットワーク (CDN) でホストされている悪意のあるペイロードにつながります。さらに、フィッシング キャンペーンでは、Microsoft 365 のログイン資格情報を収集するために、Microsoft Office Forms へのリンクを含むメールを送信することが増えています。

欺瞞的なフォームと請求書の誘惑

攻撃者は、Microsoft Office Forms で正当なフォームを装い、悪意のあるリンクを埋め込み、それを電子メールで送信します。これらの電子メールは、パスワードの変更や重要な文書へのアクセスなど、正当なリクエストのように見えます。その他のフィッシング キャンペーンでは、請求書をテーマにしたルアーを使用して、被害者を騙し、Cloudflare R2 でホストされているページで認証情報を共有させ、Telegram ボット経由でデータを抜き出します。

安全な電子メールゲートウェイのバイパス

攻撃者は、セキュア メール ゲートウェイ (SEG) を回避する方法を常に模索しています。最近の Cofense レポートでは、攻撃者が ZIP アーカイブ添付ファイルの SEG スキャンを悪用して、DBatLoader 経由で Formbook 情報窃盗プログラムを送り込む方法が強調されています。これには、HTML ペイロードを MPEG ファイルに偽装することが含まれますが、多くのアーカイブ抽出プログラムと SEG はこれを誤って解釈し、悪意のあるファイルが検出を回避できるようにします。

フィッシング キャンペーンの戦術は進化しており、警戒と高度なセキュリティ対策の重要性が強調されています。ユーザーは予期しない電子メールに注意し、コマンドを実行したり機密情報を提供したりする前に、指示の信頼性を徹底的に確認する必要があります。