在过去的几周里,Trellix 高级研究中心观察到针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。威胁行为者依靠社会工程策略来诱骗用户执行 PowerShell 脚本,从而导致他们的系统受到威胁。
攻击链首先诱骗收件人点击一个按钮,该按钮声称可以解释如何修复 DNS 问题,这表明解决此问题将授予对所需文件的访问权限。
“攻击按如下方式展开:受害者收到一封包含.html文件的电子邮件。当打开此.html文件时,它会显示一个图像,旨在创建访问文档的紧迫感,从而增加用户按照提供的说明进行操作的可能性。“该图像模拟一个Microsoft OneDrive 页面,其中显示一个名为”Reports.pdf“的文件和一个名为”错误 0x8004de86“的窗口,其中包含以下错误消息:”无法连接到’OneDrive’云服务。要修复此错误,您需要手动更新 DNS 缓存。此窗口有两个按钮:“详细信息”和“如何修复”。值得注意的是,错误 0x8004de80 是登录 OneDrive 时可能发生的合法问题。
单击“详细信息”按钮可将用户定向到“DNS 疑难解答”上的合法 Microsoft Learn 页面。
单击“如何修复”后,收件人将被指示遵循一系列步骤,其中包括打开快速链接菜单(Windows 键 + X)、访问 Windows PowerShell 终端、粘贴命令并执行它以解决问题的具体说明。
“如上图所示,该命令首先运行 ipconfig /flushdns,然后在 C: 驱动器上创建一个名为”downloads“的文件夹。随后,它将存档文件下载到此位置,重命名它,提取其内容(“script.a3x”和“AutoIt3.exe”),并使用 AutoIt3.exe 执行 script.a3x。最后,将显示以下消息:“操作已成功完成,请重新加载页面。
Trellix 报告称,该活动针对的大多数用户位于美国 (40%)、韩国 (17%)、德国 (14%) 和印度 (10%)。
报告总结道:“这次攻击的全球分布凸显了国际合作和情报共享的必要性,以有效应对这些威胁,”该报告还提供了妥协指标(IoC)。