Kaip nepasikliauti OneDrive sukčiavimo sukčiavimu
Kibernetinio saugumo tyrėjai nustatė naują sukčiavimo kampaniją, skirtą Microsoft OneDrive vartotojams. Šia kampanija siekiama vykdyti kenkėjišką „PowerShell“ scenarijų, pažeidžiantį vartotojų sistemas. Trellix saugumo tyrinėtojas Rafaelis Pena pasidalijo įžvalgomis apie šią grėsmę, kurią kibernetinio saugumo įmonė seka pavadinimu OneDrive Pastejacking.
Table of Contents
Socialinės inžinerijos esmė
„OneDrive Pastejacking“ kampanija labai priklauso nuo socialinės inžinerijos taktikos. Vartotojai gauna el. laišką, kuriame yra HTML failas, imituojantis OneDrive klaidos puslapį. Klaidos pranešimas rodo, kad vartotojas turi rankiniu būdu atnaujinti DNS talpyklą, kad išspręstų problemą.
Atidarius HTML failą, vartotojams pateikiamos dvi parinktys: „Kaip pataisyti“ ir „Išsami informacija“. Nors parinktis „Išsami informacija“ nukreipia vartotojus į teisėtą „Microsoft Learn“ puslapį DNS trikčių šalinimo skyriuje, parinktis „Kaip pataisyti“ nukreipia juos atlikti kelis veiksmus. Šie veiksmai apima „PowerShell“ terminalo atidarymą ir „Base64“ užkoduotos komandos įklijavimą.
Kenkėjiškos komandos vykdymas
Komanda pirmiausia paleidžia ipconfig /flushdns, tada C: diske sukuria aplanką pavadinimu „atsisiuntimai“. Atsisiunčiamas archyvo failas, ištraukiamas jo turinys (script.a3x ir AutoIt3.exe) ir vykdomas script.a3x naudojant AutoIt3.exe.
Pasaulinis pasiekiamumas
Pastebėta, kad ši kampanija taikoma naudotojams keliose šalyse, įskaitant JAV, Pietų Korėją, Vokietiją, Indiją, Airiją, Italiją, Norvegiją ir JK. Panašūs „ReliaQuest“, „Proofpoint“ ir „McAfee Labs“ išvados rodo, kad tokie sukčiavimo išpuoliai tampa vis labiau paplitę. .
Tobulėjantys sukčiavimo būdai
Ši kampanija buvo atrasta kartu su kita el. paštu pagrįsta socialinės inžinerijos ataka, platinanti netikrus „Windows“ nuorodų failus. Tai veda prie kenkėjiškų naudingųjų apkrovų, priglobtų Discord turinio pristatymo tinkle (CDN). Be to, per sukčiavimo kampanijas vis dažniau siunčiami el. laiškai su nuorodomis į „Microsoft Office Forms“, kad būtų galima surinkti „Microsoft 365“ prisijungimo duomenis.
Apgaulingos formos ir sąskaitos faktūros masalai
Užpuolikai „Microsoft Office Forms“ sukuria teisėtai atrodančias formas, įterpdami kenkėjiškas nuorodas ir masiškai siųsdami jas el. paštu. Atrodo, kad šie el. laiškai yra teisėti prašymai, pvz., pakeisti slaptažodžius arba pasiekti svarbius dokumentus. Kitos sukčiavimo kampanijos naudoja sąskaitų faktūrų temas, apgaudinėdamos aukas, kad jos dalytųsi kredencialais puslapiuose, priglobtuose „Cloudflare R2“, o duomenys išfiltruojami naudojant „Telegram“ robotą.
Saugių el. pašto šliuzų apėjimas
Priešai nuolat ieško būdų, kaip apeiti saugius el. pašto šliuzus (SEG). Neseniai paskelbtoje „Cofense“ ataskaitoje pabrėžiama, kaip užpuolikai piktnaudžiauja ZIP archyvo priedų SEG nuskaitymu, kad pateiktų „Formbook“ informacijos vagystę per „DBatLoader“. Tai apima HTML naudingųjų apkrovų užmaskavimą kaip MPEG failus, kuriuos daugelis archyvų ištraukėjų ir SEG klaidingai interpretuoja, todėl kenkėjiški failai gali išvengti aptikimo.
Besivystanti sukčiavimo kampanijų taktika pabrėžia budrumo ir pažangių saugumo priemonių svarbą. Prieš vykdydami komandas ar pateikdami neskelbtiną informaciją, vartotojai turėtų saugotis netikėtų el. laiškų ir kruopščiai patikrinti bet kokių instrukcijų autentiškumą.
