如何避免陷入 OneDrive 网络钓鱼诈骗

网络安全研究人员发现了一个针对 Microsoft OneDrive 用户的新网络钓鱼活动。此活动旨在执行恶意的 PowerShell 脚本，从而危害用户的系统。Trellix 安全研究员 Rafael Pena 分享了对这一威胁的见解，该网络安全公司正在以 OneDrive Pastejacking 的名义跟踪这一威胁。

社会工程学的核心

OneDrive Pastejacking 活动严重依赖社会工程学策略。用户收到一封电子邮件，其中包含一个模仿 OneDrive 错误页面的 HTML 文件。错误消息建议用户需要手动更新 DNS 缓存以解决问题。

打开 HTML 文件后，用户会看到两个选项：“如何修复”和“详细信息”。虽然“详细信息”选项会将用户引导至有关 DNS 故障排除的合法 Microsoft Learn 页面，但“如何修复”选项会引导他们完成一系列步骤。这些步骤包括打开 PowerShell 终端并粘贴 Base64 编码的命令。

恶意命令执行

该命令首先运行 ipconfig /flushdns，然后在 C: 盘上创建一个名为“downloads”的文件夹。然后下载存档文件、提取其内容（script.a3x 和 AutoIt3.exe），并使用 AutoIt3.exe 执行 script.a3x。

全球范围

据观察，此次攻击活动针对的是多个国家的用户，包括美国、韩国、德国、印度、爱尔兰、意大利、挪威和英国。ReliaQuest、Proofpoint 和 McAfee Labs 的类似发现表明，此类网络钓鱼攻击正变得越来越普遍。

不断发展的网络钓鱼技术

此次活动的发现伴随着另一起基于电子邮件的社会工程攻击，该攻击分发了虚假的 Windows 快捷方式文件。这些文件会导致托管在 Discord 的内容交付网络 (CDN) 上的恶意负载。此外，网络钓鱼活动越来越多地发送带有 Microsoft Office Forms 链接的电子邮件，以获取 Microsoft 365 登录凭据。

欺骗性表格和发票诱惑

攻击者在 Microsoft Office Forms 上创建看似合法的表单，嵌入恶意链接并通过电子邮件发送。这些电子邮件看起来像是合法请求，例如更改密码或访问重要文档。其他网络钓鱼活动使用以发票为主题的诱饵，诱骗受害者在托管在 Cloudflare R2 上的页面上共享凭据，并通过 Telegram 机器人窃取数据。

绕过安全电子邮件网关

攻击者不断寻找绕过安全电子邮件网关 (SEG) 的方法。Cofense 最近的一份报告重点介绍了攻击者如何滥用 SEG 对 ZIP 存档附件的扫描，通过 DBatLoader 传播 Formbook 信息窃取程序。这涉及将 HTML 有效负载伪装成 MPEG 文件，许多存档提取器和 SEG 会误解这些文件，从而使恶意文件逃避检测。

网络钓鱼活动的策略不断演变，凸显了警惕和高级安全措施的重要性。用户应警惕意外的电子邮件，并在执行命令或提供敏感信息之前彻底验证任何指令的真实性。