Hoe u niet voor de OneDrive-phishing-zwendel trapt
Cybersecurity-onderzoekers hebben een nieuwe phishing-campagne geïdentificeerd die zich richt op Microsoft OneDrive-gebruikers. Deze campagne heeft tot doel een kwaadaardig PowerShell-script uit te voeren, waardoor de systemen van gebruikers in gevaar worden gebracht. Trellix-beveiligingsonderzoeker Rafael Pena deelde inzichten over deze dreiging, die het cyberbeveiligingsbedrijf volgt onder de naam OneDrive Pastejacking.
Table of Contents
Sociale engineering in de kern
De OneDrive Pastejacking-campagne is sterk afhankelijk van social engineering-tactieken. Gebruikers ontvangen een e-mail met een HTML-bestand dat een OneDrive-foutpagina nabootst. Het foutbericht suggereert dat de gebruiker de DNS-cache handmatig moet bijwerken om het probleem op te lossen.
Bij het openen van het HTML-bestand krijgen gebruikers twee opties te zien: 'Hoe op te lossen' en 'Details'. Terwijl de optie 'Details' gebruikers naar een legitieme Microsoft Learn-pagina leidt over het oplossen van DNS-problemen, leidt de optie 'Hoe dit op te lossen' hen door een reeks stappen. Deze stappen omvatten het openen van de PowerShell-terminal en het plakken van een Base64-gecodeerde opdracht.
Kwaadwillige opdrachtuitvoering
De opdracht voert eerst ipconfig /flushdns uit en maakt vervolgens een map met de naam "downloads" op station C:. Vervolgens wordt een archiefbestand gedownload, de inhoud ervan uitgepakt (script.a3x en AutoIt3.exe) en script.a3x uitgevoerd met AutoIt3.exe.
Globaal bereik
Er is waargenomen dat deze campagne zich richt op gebruikers in meerdere landen, waaronder de VS, Zuid-Korea, Duitsland, India, Ierland, Italië, Noorwegen en het Verenigd Koninkrijk. Soortgelijke bevindingen van ReliaQuest, Proofpoint en McAfee Labs geven aan dat dergelijke phishing-aanvallen steeds vaker voorkomen .
Evoluerende phishing-technieken
De ontdekking van deze campagne gaat gepaard met een nieuwe, op e-mail gebaseerde social engineering-aanval waarbij valse Windows-snelkoppelingsbestanden worden verspreid. Deze leiden tot kwaadaardige payloads die worden gehost op het Content Delivery Network (CDN) van Discord. Bovendien sturen phishing-campagnes steeds vaker e-mails met links naar Microsoft Office Forms om inloggegevens voor Microsoft 365 te verzamelen.
Misleidende formulieren en facturen
Aanvallers creëren legitiem ogende formulieren op Microsoft Office Forms, sluiten kwaadaardige links in en versturen deze massaal via e-mail. Deze e-mails lijken legitieme verzoeken, zoals het wijzigen van wachtwoorden of toegang tot belangrijke documenten. Andere phishing-campagnes maken gebruik van lokmiddel met factuurthema, waardoor slachtoffers worden verleid om inloggegevens te delen op pagina's die worden gehost op Cloudflare R2, waarbij de gegevens worden geëxfiltreerd via een Telegram-bot.
Veilige e-mailgateways omzeilen
Tegenstanders zoeken voortdurend naar manieren om Secure Email Gateways (SEG's) te omzeilen. Een recent Cofense-rapport benadrukt hoe aanvallers het SEG-scannen van ZIP-archiefbijlagen misbruiken om de Formbook-informatiesteler via DBatLoader te leveren. Dit houdt in dat HTML-payloads worden vermomd als MPEG-bestanden, die door veel archiefextractors en SEG's verkeerd worden geïnterpreteerd, waardoor de kwaadaardige bestanden detectie kunnen omzeilen.
De evoluerende tactieken van phishing-campagnes onderstrepen het belang van waakzaamheid en geavanceerde beveiligingsmaatregelen. Gebruikers moeten op hun hoede zijn voor onverwachte e-mails en de authenticiteit van eventuele instructies grondig verifiëren voordat ze opdrachten uitvoeren of gevoelige informatie verstrekken.
