如何避免陷入 OneDrive 網路釣魚騙局

網路安全研究人員發現了一種針對 Microsoft OneDrive 用戶的新網路釣魚活動。該活動旨在執行惡意 PowerShell 腳本，從而損害使用者的系統。 Trellix 安全研究員 Rafael Pena 分享了對此威脅的見解，該網路安全公司正在以 OneDrive Pastejacking 的名義追蹤該威脅。

社會工程的核心

OneDrive 貼上劫持活動嚴重依賴社會工程策略。使用者會收到一封電子郵件，其中包含模仿 OneDrive 錯誤頁面的 HTML 檔案。此錯誤訊息表示用戶需要手動更新 DNS 快取才能解決問題。

開啟 HTML 檔案後，使用者會看到兩個選項：「如何修復」和「詳細資料」。雖然「詳細資訊」選項將使用者引導至有關 DNS 故障排除的合法 Microsoft Learn 頁面，但「如何修復」選項將引導使用者完成一系列步驟。這些步驟包括開啟 PowerShell 終端機並貼上 Base64 編碼的命令。

惡意命令執行

這個指令先執行 ipconfig /flushdns，然後在 C: 磁碟機上建立一個名為「downloads」的資料夾。它繼續下載存檔文件，提取其內容（script.a3x 和 AutoIt3.exe），並使用 AutoIt3.exe 執行 script.a3x。

全球範圍

據觀察，該活動針對多個國家/地區的用戶，包括美國、韓國、德國、印度、愛爾蘭、義大利、挪威和英國ReliaQuest、Proofpoint 和McAfee Labs 的類似調查結果表明，此類網路釣魚攻擊正變得越來越普遍。

不斷發展的網路釣魚技術

該活動的發現與另一起基於電子郵件的社會工程攻擊一起傳播偽造的 Windows 捷徑檔案。這些會導致在 Discord 的內容交付網路 (CDN) 上託管惡意負載。此外，網路釣魚活動越來越多地發送包含 Microsoft Office Forms 連結的電子郵件，以取得 Microsoft 365 登入憑證。

欺騙性表格和發票誘惑

攻擊者在 Microsoft Office Forms 上建立看似合法的表單，嵌入惡意連結並透過電子郵件大量發送。這些電子郵件似乎是合法請求，例如更改密碼或存取重要文件。其他網路釣魚活動使用以發票為主題的誘餌，欺騙受害者分享 Cloudflare R2 託管頁面上的憑證，並透過 Telegram 機器人竊取資料。

繞過安全電子郵件網關

攻擊者不斷尋找繞過安全電子郵件閘道 (SEG) 的方法。 Cofense 最近的一份報告重點介紹了攻擊者如何濫用 ZIP 存檔附件的 SEG 掃描，透過 DBatLoader 傳遞 Formbook 資訊竊取程式。這涉及將 HTML 有效負載偽裝成 MPEG 文件，許多存檔提取器和 SEG 會誤解該文件，從而使惡意文件能夠逃避檢測。

網路釣魚活動不斷變化的策略凸顯了警覺和先進安全措施的重要性。使用者應警惕意外電子郵件，並在執行命令或提供敏感資訊之前徹底驗證任何指令的真實性。