Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για μια νέα phishing απάτη, που στοχεύει χρήστες του Microsoft OneDrive, με σκοπό την εκτέλεση ενός κακόβουλου PowerShell script.

«Η εκστρατεία βασίζεται σε μεγάλο βαθμό σε τακτικές κοινωνικής μηχανικής για να παρασύρει τους χρήστες να εκτελέσουν ένα PowerShell script, θέτοντας έτσι σε κίνδυνο τα συστήματά τους», δήλωσε ο ερευνητής ασφαλείας της Trellix, Rafael Pena, σε ανάλυση της Δευτέρας.

Η εταιρεία κυβερνοασφάλειας παρακολουθεί μια ύπουλη εκστρατεία phishing και downloader γνωστή ως OneDrive Pastejacking. Αυτή η επίθεση εκτυλίσσεται μέσω ενός ηλεκτρονικού μηνύματος που περιέχει ένα HTML αρχείο. Όταν το αρχείο ανοίξει, εμφανίζει μια εικόνα που υποδύεται τη σελίδα του OneDrive, συνοδευόμενη από μια ειδοποίηση σφάλματος που αναφέρει: “Αποτυχία σύνδεσης στην υπηρεσία cloud ‘OneDrive’. Για να επιλύσετε το πρόβλημα, πρέπει να ενημερώσετε χειροκίνητα τη μνήμη cache DNS.”

Διαβάστε επίσης: Proofpoint: Χάκερς εκμεταλλεύτηκαν σφάλμα για αποστολή Phishing email

Το μήνυμα περιλαμβάνει δύο επιλογές: “Τρόπος επιδιόρθωσης” και “Λεπτομέρειες”. Η δεύτερη επιλογή ανακατευθύνει τον παραλήπτη σε μια επίσημη σελίδα του Microsoft Learn για την επίλυση προβλημάτων DNS. Αν, ωστόσο, ο χρήστης επιλέξει την επιλογή “Τρόπος επιδιόρθωσης”, θα του ζητηθεί να ακολουθήσει μια σειρά βημάτων. Αυτά περιλαμβάνουν την επιλογή του “Windows Key + X” για να ανοίξει το μενού Quick Link, την εκκίνηση του PowerShell και την επικόλληση μιας εντολής κωδικοποιημένης σε Base64, με σκοπό την υποτιθέμενη διόρθωση του προβλήματος.

«Η εντολή […] πρώτα εκτελεί το ipconfig /flushdns και στη συνέχεια δημιουργεί έναν φάκελο στη μονάδα δίσκου C: με την ονομασία “downloads”, εξήγησε ο Pena. Έπειτα, κατεβάζει ένα αρχείο αρχειοθέτησης σε αυτή τη θέση, το μετονομάζει, εξάγει τα περιεχόμενά του (δηλαδή “script.a3x” και “AutoIt3.exe”) και εκτελεί το script.a3x χρησιμοποιώντας το AutoIt3.exe.»

Η εκστρατεία στοχεύει χρήστες από τις ΗΠΑ, τη Νότια Κορέα, τη Γερμανία, την Ινδία, την Ιρλανδία, την Ιταλία, τη Νορβηγία και το Ηνωμένο Βασίλειο.

Η αποκάλυψη βασίζεται σε παρόμοια ευρήματα από τις ReliaQuest, Proofpoint και McAfee Labs, υποδεικνύοντας ότι οι επιθέσεις phishing που αξιοποιούν αυτή την τεχνική—γνωστή και ως ClickFix—διαδίδονται ολοένα και περισσότερο.

Αυτή η εκστρατεία ανακαλύφθηκε μαζί με μια άλλη νέα εκστρατεία κοινωνικής μηχανικής (social engineering) μέσω email, η οποία διανέμει ψεύτικα αρχεία συντομεύσεων των Windows. Αυτά τα αρχεία οδηγούν στην εκτέλεση κακόβουλων ωφέλιμων φορτίων που είναι φιλοξενούμενα στην υποδομή του Δικτύου Παράδοσης Περιεχομένου (CDN) του Discord.

Οι εκστρατείες email phishing έχουν γίνει όλο και πιο συχνές, όπως η αποστολή φορμών του Microsoft Office από προηγουμένως παραβιασμένους νόμιμους λογαριασμούς email. Οι χάκερς προσπαθούν να δελεάσουν τους στόχους τους να αποκαλύψουν τα διαπιστευτήρια σύνδεσής τους στο Microsoft 365, κάνοντάς τους να κάνουν κλικ σε φαινομενικά αβλαβείς συνδέσμους.

Δείτε περισσότερα: Νέα υπηρεσία για hackers συνδυάζει phishing kits και κακόβουλα Android apps

“Οι χάκερς δημιουργούν μορφές που φαίνονται νόμιμες χρησιμοποιώντας τα πρότυπα του Microsoft Office, ενσωματώνοντας κακόβουλους συνδέσμους σε αυτές,” δήλωσε η Perception Point. “Αυτές οι μορφές αποστέλλονται μαζικά μέσω email στους στόχους και προσποιούνται νόμιμα αιτήματα (αλλαγή κωδικών πρόσβασης ή η πρόσβαση σε σημαντικά έγγραφα), αξιόπιστες πλατφόρμες, όπως η Adobe και το πρόγραμμα προβολής εγγράφων του Microsoft SharePoint.”

Επιπλέον, άλλα κύματα επιθέσεων έχουν αξιοποιήσει δολώματα με θέμα τα τιμολόγια για να παρασύρουν τα θύματα να αποκαλύπτουν τα διαπιστευτήριά τους σε σελίδες phishing που φιλοξενούνται στο Cloudflare R2. Αυτά τα στοιχεία στη συνέχεια μεταφέρονται στον απειλητικό παράγοντα μέσω ενός bot στο Telegram.

Δεν αποτελεί καθόλου έκπληξη το γεγονός, ότι οι χάκερς αναζητούν διαρκώς νέες μεθόδους για να περάσουν κρυφά κακόβουλο λογισμικό μέσω των ασφαλών πυλών ηλεκτρονικού ταχυδρομείου (SEG), προκειμένου να αυξήσουν τις πιθανότητες επιτυχίας των επιθέσεών τους.

Σύμφωνα με πρόσφατη αναφορά από το Cofense, κακόβουλοι χρήστες εκμεταλλεύονται τη διαδικασία σάρωσης των SEG για συνημμένα αρχεία ZIP, προκειμένου να διανείμουν το πρόγραμμα κλοπής πληροφοριών Formbook μέσω του DBatLoader, που είναι επίσης γνωστός ως ModiLoader και NatsoLoader.

Συγκεκριμένα, αυτό περιλαμβάνει τη μετάδοση του ωφέλιμου φορτίου HTML ως αρχείου MPEG, προκειμένου να αποφευχθεί η ανίχνευση. Εκμεταλλευόμαστε το γεγονός ότι πολλοί συνηθισμένοι εξαγωγείς αρχειοθέτησης και SEG αναλύουν τις πληροφορίες κεφαλίδας του αρχείου, παραβλέποντας ωστόσο το υποσέλιδο, το οποίο μπορεί να περιέχει πιο ακριβείς λεπτομέρειες σχετικά με τη μορφή του αρχείου.

Διαβάστε ακόμα: CrowdStrike: Phishing επιθέσεις στοχεύουν Γερμανούς πελάτες

“Οι χάκερς χρησιμοποίησαν ένα συνημμένο αρχείου .ZIP και, όταν η SEG σάρωνε το περιεχόμενο του αρχείου, διαπιστώθηκε ότι περιείχε ένα αρχείο βίντεο .MPEG, το οποίο δεν μπλοκαρίστηκε ή φιλτραρίστηκε,” ανέφερε η εταιρεία.

Όταν ανοίξαμε αυτό το συνημμένο με δημοφιλή εργαλεία εξαγωγής αρχείων όπως το 7-Zip ή το Power ISO, φάνηκε ότι περιείχε ένα αρχείο βίντεο .MPEG, το οποίο όμως δεν μπορούσε να αναπαραχθεί. Αντίθετα, όταν το αρχείο άνοιξε μέσω ενός προγράμματος-πελάτη του Outlook ή μέσω της διαχείρισης αρχείων των Windows, το αρχείο .MPEG αναγνωρίστηκε σωστά ως [αρχείο] .HTML.

Πηγή: thehackernews