Como não cair no golpe de phishing do OneDrive

Pesquisadores de segurança cibernética identificaram uma nova campanha de phishing direcionada aos usuários do Microsoft OneDrive. Esta campanha visa executar um script malicioso do PowerShell, comprometendo os sistemas dos usuários. O pesquisador de segurança da Trellix, Rafael Pena, compartilhou insights sobre essa ameaça, que a empresa de segurança cibernética está rastreando sob o nome OneDrive Pastejacking.

Engenharia Social em sua essência

A campanha OneDrive Pastejacking depende fortemente de táticas de engenharia social. Os usuários recebem um email contendo um arquivo HTML que imita uma página de erro do OneDrive. A mensagem de erro sugere que o usuário precisa atualizar o cache DNS manualmente para resolver o problema.

Ao abrir o arquivo HTML, os usuários são apresentados a duas opções: “Como corrigir” e “Detalhes”. Embora a opção “Detalhes” direcione os usuários para uma página legítima do Microsoft Learn sobre solução de problemas de DNS, a opção “Como corrigir” os conduz por uma série de etapas. Essas etapas incluem abrir o terminal do PowerShell e colar um comando codificado em Base64.

Execução de Comando Malicioso

O comando primeiro executa ipconfig /flushdns e, em seguida, cria uma pasta chamada “downloads” na unidade C:. Ele baixa um arquivo compactado, extrai seu conteúdo (script.a3x e AutoIt3.exe) e executa script.a3x usando AutoIt3.exe.

Alcance global

Esta campanha foi observada visando usuários em vários países, incluindo EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido. Descobertas semelhantes da ReliaQuest, Proofpoint e McAfee Labs indicam que tais ataques de phishing estão se tornando cada vez mais prevalentes .

Evolução das técnicas de phishing

A descoberta desta campanha acompanha outro ataque de engenharia social baseado em e-mail que distribui arquivos falsos de atalho do Windows. Isso leva a cargas maliciosas hospedadas na Content Delivery Network (CDN) do Discord. Além disso, as campanhas de phishing enviam cada vez mais e-mails com links para Microsoft Office Forms para coletar credenciais de login do Microsoft 365.

Formulários enganosos e iscas de fatura

Os invasores criam formulários de aparência legítima no Microsoft Office Forms, incorporando links maliciosos e enviando-os em massa por email. Esses e-mails parecem ser solicitações legítimas, como alteração de senha ou acesso a documentos importantes. Outras campanhas de phishing usam iscas com tema de fatura, enganando as vítimas para que compartilhem credenciais em páginas hospedadas no Cloudflare R2, com dados exfiltrados por meio de um bot do Telegram.

Ignorando gateways de e-mail seguros

Os adversários buscam continuamente maneiras de contornar os Secure Email Gateways (SEGs). Um relatório recente da Cofense destaca como os invasores abusam da verificação SEG de anexos de arquivos ZIP para entregar o ladrão de informações do Formbook por meio do DBatLoader. Isso envolve disfarçar cargas HTML como arquivos MPEG, que muitos extratores de arquivos e SEGs interpretam mal, permitindo que os arquivos maliciosos evitem a detecção.

A evolução das táticas das campanhas de phishing sublinha a importância da vigilância e de medidas de segurança avançadas. Os usuários devem ter cuidado com e-mails inesperados e verificar minuciosamente a autenticidade de quaisquer instruções antes de executar comandos ou fornecer informações confidenciais.