Как не попасться на фишинговую аферу OneDrive
Исследователи кибербезопасности выявили новую фишинговую кампанию, нацеленную на пользователей Microsoft OneDrive. Целью этой кампании является выполнение вредоносного сценария PowerShell, ставящего под угрозу системы пользователей. Исследователь безопасности Trellix Рафаэль Пенья поделился своими мыслями об этой угрозе, которую компания по кибербезопасности отслеживает под названием OneDrive Pastejacking.
Table of Contents
Социальная инженерия в ее основе
Кампания OneDrive Pastejacking в значительной степени опирается на тактику социальной инженерии. Пользователи получают электронное письмо, содержащее HTML-файл, имитирующий страницу ошибки OneDrive. Сообщение об ошибке предполагает, что пользователю необходимо обновить кэш DNS вручную, чтобы решить проблему.
При открытии HTML-файла пользователям предлагаются два варианта: «Как исправить» и «Подробнее». В то время как опция «Подробности» направляет пользователей на законную страницу Microsoft Learn, посвященную устранению неполадок DNS, опция «Как исправить» проводит их через ряд шагов. Эти шаги включают открытие терминала PowerShell и вставку команды в кодировке Base64.
Вредоносное выполнение команды
Команда сначала запускает ipconfig /flushdns, затем создает папку с именем «downloads» на диске C:. Он загружает архивный файл, извлекает его содержимое (script.a3x и AutoIt3.exe) и выполняет script.a3x с помощью AutoIt3.exe.
Глобальный охват
Эта кампания была нацелена на пользователей во многих странах, включая США, Южную Корею, Германию, Индию, Ирландию, Италию, Норвегию и Великобританию. Аналогичные результаты ReliaQuest, Proofpoint и McAfee Labs показывают, что такие фишинговые атаки становятся все более распространенными. .
Развитие методов фишинга
Обнаружение этой кампании сопровождалось еще одной атакой социальной инженерии по электронной почте, в ходе которой распространялись поддельные файлы ярлыков Windows. Это приводит к тому, что вредоносные полезные данные размещаются в сети доставки контента (CDN) Discord. Кроме того, фишинговые кампании все чаще рассылают электронные письма со ссылками на формы Microsoft Office для сбора учетных данных для входа в Microsoft 365.
Обманчивые формы и приманки для выставления счетов
Злоумышленники создают в Microsoft Office Forms легитимные формы, встраивают вредоносные ссылки и массово рассылают их по электронной почте. Эти электронные письма кажутся законными запросами, такими как изменение паролей или доступ к важным документам. В других фишинговых кампаниях используются приманки на тему счетов, которые вынуждают жертв делиться учетными данными на страницах, размещенных на Cloudflare R2, при этом данные передаются через бот Telegram.
Обход защищенных шлюзов электронной почты
Злоумышленники постоянно ищут способы обойти шлюзы безопасной электронной почты (SEG). В недавнем отчете Cofense показано, как злоумышленники злоупотребляют сканированием SEG вложений ZIP-архива для доставки похитителя информации Formbook через DBatLoader. Это предполагает маскировку полезных данных HTML под файлы MPEG, которые многие программы для извлечения архивов и SEG неправильно интерпретируют, что позволяет вредоносным файлам уклоняться от обнаружения.
Развивающаяся тактика фишинговых кампаний подчеркивает важность бдительности и передовых мер безопасности. Пользователям следует опасаться неожиданных писем и тщательно проверять подлинность любых инструкций перед выполнением команд или предоставлением конфиденциальной информации.
