Hur man inte faller för OneDrive Phishing-bedrägeri
Cybersäkerhetsforskare har identifierat en ny nätfiskekampanj riktad mot Microsoft OneDrive-användare. Den här kampanjen syftar till att köra ett skadligt PowerShell-skript som äventyrar användarnas system. Trellix säkerhetsforskare Rafael Pena delade insikter om detta hot, som cybersäkerhetsföretaget spårar under namnet OneDrive Pastejacking.
Table of Contents
Social ingenjörskonst i sin kärna
OneDrive Pastejacking-kampanjen är starkt beroende av social ingenjörstaktik. Användare får ett e-postmeddelande som innehåller en HTML-fil som efterliknar en OneDrive-felsida. Felmeddelandet antyder att användaren måste uppdatera DNS-cachen manuellt för att lösa problemet.
När HTML-filen öppnas får användarna två alternativ: "Hur man fixar" och "Detaljer." Medan alternativet "Detaljer" leder användarna till en legitim Microsoft Learn-sida om felsökning av DNS, leder alternativet "Hur man åtgärdar" dem genom en rad steg. Dessa steg inkluderar att öppna PowerShell-terminalen och klistra in ett Base64-kodat kommando.
Skadlig kommandoexekvering
Kommandot kör först ipconfig /flushdns och skapar sedan en mapp med namnet "downloads" på C:-enheten. Den fortsätter med att ladda ner en arkivfil, extrahera dess innehåll (script.a3x och AutoIt3.exe) och köra script.a3x med AutoIt3.exe.
Global räckvidd
Denna kampanj har observerats riktad mot användare i flera länder, inklusive USA, Sydkorea, Tyskland, Indien, Irland, Italien, Norge och Storbritannien. Liknande resultat från ReliaQuest, Proofpoint och McAfee Labs indikerar att sådana nätfiskeattacker blir allt vanligare. .
Utveckling av nätfisketekniker
Upptäckten av denna kampanj kommer tillsammans med en annan e-postbaserad social ingenjörsattack som distribuerar falska Windows-genvägsfiler. Dessa leder till skadliga nyttolaster på Discords Content Delivery Network (CDN). Dessutom skickar nätfiskekampanjer alltmer e-postmeddelanden med länkar till Microsoft Office Forms för att samla in inloggningsuppgifter för Microsoft 365.
Bedrägliga formulär och fakturor
Angripare skapar formulär som ser legitimt ut på Microsoft Office-formulär, bäddar in skadliga länkar och skickar dem massvis via e-post. Dessa e-postmeddelanden verkar vara legitima förfrågningar, som att byta lösenord eller komma åt viktiga dokument. Andra nätfiskekampanjer använder beten med fakturatema, som lurar offer att dela referenser på sidor som finns på Cloudflare R2, med data som exfiltreras via en Telegram-bot.
Förbigå säkra e-postgateways
Motståndare söker ständigt sätt att kringgå Secure Email Gateways (SEG). En färsk Cofense-rapport belyser hur angripare missbrukar SEG-skanning av ZIP-arkivbilagor för att leverera Formbook-informationsstjälaren via DBatLoader. Detta involverar att dölja HTML-nyttolaster som MPEG-filer, vilket många arkivextraktörer och SEG:er misstolkar, vilket gör att de skadliga filerna kan undvika upptäckt.
Den föränderliga taktiken för nätfiskekampanjer understryker vikten av vaksamhet och avancerade säkerhetsåtgärder. Användare bör vara försiktiga med oväntade e-postmeddelanden och noggrant verifiera äktheten av alla instruktioner innan de utför kommandon eller tillhandahåller känslig information.
