Jak nie dać się nabrać na oszustwo typu phishing w usłudze OneDrive
Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nową kampanię phishingową skierowaną do użytkowników Microsoft OneDrive. Celem tej kampanii jest wykonanie złośliwego skryptu PowerShell, który narusza systemy użytkowników. Badacz bezpieczeństwa Trellix, Rafael Pena, podzielił się spostrzeżeniami na temat tego zagrożenia, które firma zajmująca się cyberbezpieczeństwem śledzi pod nazwą OneDrive Pastejacking.
Table of Contents
Inżynieria społeczna u podstaw
Kampania OneDrive Pastejacking w dużym stopniu opiera się na taktyce inżynierii społecznej. Użytkownicy otrzymują wiadomość e-mail zawierającą plik HTML imitujący stronę błędu OneDrive. Komunikat o błędzie sugeruje, że użytkownik musi ręcznie zaktualizować pamięć podręczną DNS, aby rozwiązać problem.
Po otwarciu pliku HTML użytkownicy mają do wyboru dwie opcje: „Jak naprawić” i „Szczegóły”. Podczas gdy opcja „Szczegóły” kieruje użytkowników do legalnej strony Microsoft Learn poświęconej rozwiązywaniu problemów z DNS, opcja „Jak naprawić” prowadzi ich przez szereg kroków. Te kroki obejmują otwarcie terminala programu PowerShell i wklejenie polecenia zakodowanego w formacie Base64.
Wykonanie złośliwego polecenia
Polecenie najpierw uruchamia ipconfig /flushdns, a następnie tworzy folder o nazwie „downloads” na dysku C:. Następnie pobiera plik archiwum, wyodrębnia jego zawartość (script.a3x i AutoIt3.exe) i wykonuje skrypt.a3x przy użyciu AutoIt3.exe.
Globalny zasięg
Zaobserwowano, że kampania ta była skierowana do użytkowników w wielu krajach, w tym w USA, Korei Południowej, Niemczech, Indiach, Irlandii, Włoszech, Norwegii i Wielkiej Brytanii. Podobne ustalenia z laboratoriów ReliaQuest, Proofpoint i McAfee Labs wskazują, że tego typu ataki phishingowe stają się coraz bardziej powszechne .
Ewoluujące techniki phishingu
Odkrycie tej kampanii wiąże się z innym atakiem socjotechnicznym wykorzystującym pocztę e-mail, polegającym na dystrybucji fałszywych plików skrótów systemu Windows. Prowadzą one do złośliwych ładunków hostowanych w sieci dostarczania treści (CDN) firmy Discord. Ponadto kampanie phishingowe coraz częściej wysyłają wiadomości e-mail z łączami do formularzy Microsoft Office Forms w celu przejęcia danych logowania do Microsoft 365.
Zwodnicze formularze i przynęty na faktury
Osoby atakujące tworzą legalnie wyglądające formularze w Microsoft Office Forms, osadzając złośliwe łącza i wysyłając je masowo pocztą elektroniczną. Te e-maile wydają się być uzasadnionymi prośbami, takimi jak zmiana hasła lub dostęp do ważnych dokumentów. Inne kampanie phishingowe wykorzystują przynęty motywowane fakturami, nakłaniając ofiary do udostępnienia danych uwierzytelniających na stronach hostowanych w Cloudflare R2, a dane są wydobywane za pośrednictwem bota Telegramu.
Omijanie bezpiecznych bram e-mailowych
Przeciwnicy nieustannie szukają sposobów na ominięcie bezpiecznych bram e-mailowych (SEG). Niedawny raport Cofense podkreśla, jak napastnicy wykorzystują skanowanie SEG załączników archiwów ZIP w celu dostarczenia narzędzia do kradzieży informacji Formbook za pośrednictwem DBatLoader. Wiąże się to z ukrywaniem ładunków HTML jako plików MPEG, co wiele ekstraktorów archiwów i programów SEG błędnie interpretuje, umożliwiając złośliwym plikom uniknięcie wykrycia.
Zmieniająca się taktyka kampanii phishingowych podkreśla znaczenie czujności i zaawansowanych środków bezpieczeństwa. Użytkownicy powinni uważać na nieoczekiwane e-maile i dokładnie sprawdzać autentyczność wszelkich instrukcji przed wykonaniem poleceń lub podaniem poufnych informacji.
