OneDrive 网络钓鱼诱使用户执行恶意 PowerShell 脚本

网络安全研究人员警告说,针对 Microsoft OneDrive 用户的新网络钓鱼活动旨在执行恶意 PowerShell 脚本。

“该活动严重依赖社会工程策略来欺骗用户执行PowerShell脚本,从而破坏他们的系统,”Trellix安全研究员Rafael Pena在周一的分析中表示。

这家网络安全公司正在追踪名为OneDrive Pastejacking的“狡猾”的网络钓鱼和下载器活动。

攻击是通过一封包含HTML文件的电子邮件展开的,当打开该文件时,会显示一个模拟OneDrive页面的图像,并显示一条错误消息,上面写着:“无法连接到’OneDrive’云服务。要修复此错误,您需要手动更新 DNS 缓存。

该消息还附带两个选项,即“如何修复”和“详细信息”,后者将电子邮件收件人定向到有关排查 DNS 的合法 Microsoft Learn 页面。

但是,单击“如何修复”会提示用户执行一系列步骤,其中包括按“Windows 键 + X”打开“快速链接”菜单、启动 PowerShell 终端以及粘贴 Base64 编码的命令以解决问题。

“命令 […]首先运行 ipconfig /flushdns,然后在 C: 驱动器上创建一个名为 ‘downloads’ 的文件夹,“Pena 解释道。随后,它将存档文件下载到此位置,重命名它,提取其内容(’script.a3x’和’AutoIt3.exe’),并使用AutoIt3.exe执行script.a3x。

据观察,该活动针对美国、韩国、德国、印度、爱尔兰、意大利、挪威和英国的用户。

该披露建立在 ReliaQuest、Proofpoint 和 McAfee Labs 的类似发现之上,表明采用这种技术的网络钓鱼攻击(也称为 ClickFix)正变得越来越普遍。

这一发展是在发现一项新的基于电子邮件的社会工程活动之际发生的,该活动分发虚假的 Windows 快捷方式文件,导致执行托管在 Discord 内容分发网络 (CDN) 基础设施上的恶意负载。

网络钓鱼活动也越来越多地被观察到,例如从以前被入侵的合法电子邮件帐户发送 Microsoft Office 表单,以诱使目标通过点击看似无害的链接来泄露其 Microsoft 365 登录凭据。

“攻击者在Microsoft Office Forms上创建看起来合法的表单,在表单中嵌入恶意链接,”Perception Point说。“然后,这些表格以合法请求为幌子,例如更改密码或访问重要文档,模仿受信任的平台和品牌(如Adobe或Microsoft SharePoint文档查看器)通过电子邮件大量发送给目标。”

更重要的是,其他攻击浪潮利用以发票为主题的诱饵来诱骗受害者在 Cloudflare R2 上托管的网络钓鱼页面上分享他们的凭据,然后通过 Telegram 机器人将其泄露给威胁参与者。

毫不奇怪,攻击者一直在寻找不同的方法,通过安全电子邮件网关 (SEG) 秘密地走私恶意软件,以增加攻击成功的可能性。

根据 Cofense 最近的一份报告,不良行为者正在滥用 SEG 扫描 ZIP 存档附件的方式,通过 DBatLoader(又名 ModiLoader 和 NatsoLoader)提供 Formbook 信息窃取器。

具体来说,这涉及将 HTML 有效负载冒充 MPEG 文件,以利用以下事实来逃避检测:许多常见的存档提取器和 SEG 会解析文件头信息,但会忽略可能包含有关文件格式的更准确信息的文件页脚。

该公司指出:“威胁行为者利用了.ZIP档案附件,当 SEG 扫描文件内容时,该档案被检测为包含.MPEG视频文件,并且没有被阻止或过滤。

“当使用常见/流行的存档提取工具(例如7-Zip或Power ISO)打开此附件时,它似乎也包含.MPEG视频文件,但无法播放。但是,当在Outlook客户端中或通过Windows Explorer存档管理器打开存档时,.MPEG文件被(正确)检测为.HTML[文件]。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐