Hvordan ikke falle for OneDrive-phishing-svindel
Nettsikkerhetsforskere har identifisert en ny phishing-kampanje rettet mot Microsoft OneDrive-brukere. Denne kampanjen tar sikte på å kjøre et ondsinnet PowerShell-skript som kompromitterer brukernes systemer. Trellix-sikkerhetsforsker Rafael Pena delte innsikt om denne trusselen, som cybersikkerhetsselskapet sporer under navnet OneDrive Pastejacking.
Table of Contents
Sosialteknikk i kjernen
OneDrive Pastejacking-kampanjen er sterkt avhengig av sosial ingeniørtaktikk. Brukere mottar en e-post som inneholder en HTML-fil som etterligner en OneDrive-feilside. Feilmeldingen antyder at brukeren må oppdatere DNS-bufferen manuelt for å løse problemet.
Når du åpner HTML-filen, får brukere to alternativer: "Hvordan fikser" og "Detaljer." Mens alternativet "Detaljer" leder brukerne til en legitim Microsoft Learn-side om feilsøking av DNS, leder alternativet "Hvordan fikser" dem gjennom en rekke trinn. Disse trinnene inkluderer å åpne PowerShell-terminalen og lime inn en Base64-kodet kommando.
Ondsinnet kommandoutførelse
Kommandoen kjører først ipconfig /flushdns, og lager deretter en mappe kalt "nedlastinger" på C:-stasjonen. Den fortsetter med å laste ned en arkivfil, pakke ut innholdet (script.a3x og AutoIt3.exe), og kjøre script.a3x med AutoIt3.exe.
Global rekkevidde
Denne kampanjen har blitt observert rettet mot brukere i flere land, inkludert USA, Sør-Korea, Tyskland, India, Irland, Italia, Norge og Storbritannia. Lignende funn fra ReliaQuest, Proofpoint og McAfee Labs indikerer at slike phishing-angrep blir stadig mer utbredt. .
Utviklende phishing-teknikker
Oppdagelsen av denne kampanjen kommer sammen med et annet e-postbasert sosialt ingeniørangrep som distribuerer falske Windows-snarveisfiler. Disse fører til ondsinnede nyttelaster på Discords Content Delivery Network (CDN). I tillegg sender phishing-kampanjer i økende grad e-post med lenker til Microsoft Office Forms for å hente inn påloggingsinformasjon for Microsoft 365.
Villedende skjemaer og fakturalokker
Angripere lager legitime skjemaer på Microsoft Office-skjemaer, legger inn ondsinnede lenker og sender dem massevis via e-post. Disse e-postene ser ut til å være legitime forespørsler, for eksempel endring av passord eller tilgang til viktige dokumenter. Andre phishing-kampanjer bruker faktura-tema lokker, lurer ofre til å dele legitimasjon på sider hostet på Cloudflare R2, med data eksfiltrert via en Telegram-bot.
Omgå sikre e-postgatewayer
Motstandere søker kontinuerlig etter måter å omgå Secure Email Gateways (SEG-er). En nylig Cofense-rapport fremhever hvordan angripere misbruker SEG-skanning av ZIP-arkivvedlegg for å levere Formbook-informasjonstyveren via DBatLoader. Dette innebærer å skjule HTML-nyttelaster som MPEG-filer, som mange arkivuttrekkere og SEG-er feiltolker, slik at de ondsinnede filene kan unngå gjenkjenning.
Den utviklende taktikken til phishing-kampanjer understreker viktigheten av årvåkenhet og avanserte sikkerhetstiltak. Brukere bør være på vakt mot uventede e-poster og grundig verifisere ektheten av eventuelle instruksjoner før de utfører kommandoer eller gir sensitiv informasjon.
