Исследователи кибербезопасности предупреждают о фишинговой кампании, нацеленной на пользователей Microsoft OneDrive для выполнения вредоносного сценария PowerShell. Кампания, известная как OneDrive Pastejacking, основана на социальной инженерии, обманывая пользователей для выполнения вредоносных действий.
Атака начинается с электронного письма, содержащее HTML-файл, который при открытии имитирует страницу OneDrive. В сообщении говорится, что для устранения ошибки подключения к облаку нужно вручную обновить кэш DNS. Пользователю предлагается выбрать один из двух вариантов: "Как исправить" и "Подробности". Нажатие на "Подробности" перенаправляет на страницу Microsoft Learn, тогда как "Как исправить" направляет пользователя выполнять команду в PowerShell.
Эта команда запускает процесс ipconfig /flushdns, создает папку на диске C: и загружает в нее архивный файл. После этого содержимое архива (файлы script.a3x и AutoIt3.exe) извлекается и выполняется с помощью AutoIt3.exe.
Атака была нацелена на пользователей из США, Южной Кореи, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании. В ходе кампании использовались другие методы социальной инженерии, включая отправку поддельных файлов ярлыков Windows через электронные письма.
Исследователи также заметили увеличение числа фишинговых атак с использованием ссылок на формы Microsoft Office. Эти формы создаются злоумышленниками, чтобы выманить учетные данные пользователей Microsoft 365. Фальшивые запросы выглядят как легитимные запросы на смену пароля или доступ к документам, маскируясь под бренды, такие как Adobe или Microsoft SharePoint.
В других атаках злоумышленники используют приманки на тему счетов для получения учетных данных, размещая фишинговые страницы на Cloudflare R2 и передавая собранные данные через Telegram-бота. Также выявлены методы обхода защищенных шлюзов электронной почты (SEG), такие как использование файлов ZIP с вложением HTML в формате MPEG.
Злоумышленники постоянно совершенствуют свои методы. Важно не только обеспечивать технические меры защиты, но и обучать пользователей основам кибербезопасности. Пользователи должны быть осведомлены о методах социальной инженерии и уметь распознавать фишинговые атаки. Компании должны проводить регулярные тренинги по кибербезопасности, чтобы минимизировать риск компрометации данных.
