Especialistas em segurança cibernética identificaram uma nova campanha de phishing direcionada a usuários do Microsoft OneDrive, com o objetivo de implantar um script malicioso do PowerShell.
“Esta campanha utiliza táticas de engenharia social para enganar os usuários a executar um script do PowerShell, comprometendo seus sistemas”, explicou o pesquisador de segurança da Trellix, Rafael Pena, em uma análise recente.
A campanha, apelidada de “OneDrive Pastejacking” pela empresa de segurança cibernética, envolve uma sofisticada estratégia de phishing e downloader. O ataque começa com um e-mail contendo um arquivo HTML que, quando aberto, exibe uma página falsa do OneDrive acompanhada de uma mensagem de erro informando: “Falha ao conectar ao serviço de nuvem ‘OneDrive’. Para corrigir o erro, você precisa atualizar o cache DNS manualmente.”
O e-mail fornece duas opções: “Como corrigir” e “Detalhes”. Enquanto “Detalhes” leva a uma página legítima do Microsoft Learn sobre solução de problemas de DNS, clicar em “Como corrigir” instrui o usuário a pressionar “Tecla Windows + X”, abrir o terminal do PowerShell e colar um comando codificado em Base64, supostamente para resolver o problema.
“O comando começa executando ‘ipconfig /flushdns’, então cria um diretório na unidade C: chamado ‘downloads'”, observou Pena. “Ele prossegue baixando um arquivo, renomeando-o, extraindo seu conteúdo (‘script.a3x’ e ‘AutoIt3.exe’) e executando script.a3x usando AutoIt3.exe.”
A campanha foi detectada visando indivíduos em países como EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido.
Esta revelação está alinhada com as descobertas da ReliaQuest, Proofpoint e McAfee Labs, indicando um aumento em ataques de phishing utilizando este método, também conhecido como ClickFix.
Esta descoberta coincide com a identificação de outra campanha de engenharia social baseada em e-mail distribuindo arquivos de atalho falsos do Windows que executam payloads maliciosos hospedados na Rede de Distribuição de Conteúdo (CDN) do Discord.
Imagem fornecida pela Perception Point
As campanhas de phishing têm empregado cada vez mais uma tática envolvendo e-mails que contêm links para o Microsoft Office Forms, originários de contas de e-mail legítimas previamente comprometidas. Esses e-mails enganam os alvos para que forneçam suas credenciais de login do Microsoft 365 sob o pretexto de restaurar suas mensagens do Outlook.
“Os invasores criam formulários com aparência autêntica no Microsoft Office Forms, incorporando links maliciosos neles”, explicou a Perception Point. “Esses formulários são então distribuídos em massa por e-mail, disfarçados de solicitações legítimas, como alterações de senha ou acesso a documentos importantes, e frequentemente se passam por plataformas e marcas confiáveis, como o visualizador de documentos Adobe ou Microsoft SharePoint.”
Além disso, outras ondas de ataque usaram iscas com tema de fatura para enganar as vítimas e fazê-las inserir suas credenciais em páginas de phishing hospedadas no Cloudflare R2. As credenciais roubadas são então exfiltradas para os atacantes por meio de um bot do Telegram.
Não é de se surpreender que os adversários busquem continuamente novos métodos para contornar secretamente Secure Email Gateways (SEGs) para aumentar a eficácia de seus ataques.
Um relatório recente da Cofense revelou que agentes maliciosos exploram como os SEGs escaneiam anexos de arquivo ZIP para entregar o ladrão de informações Formbook via DBatLoader (também conhecido como ModiLoader e NatsoLoader).
Especificamente, eles disfarçam a carga útil HTML como um arquivo MPEG para evitar a detecção, aproveitando o fato de que muitos extratores de arquivo comuns e SEGs inspecionam o cabeçalho do arquivo, mas ignoram o rodapé do arquivo, o que pode fornecer informações mais precisas sobre o formato do arquivo.
“Os agentes da ameaça usaram um anexo de arquivo .ZIP e, quando o SEG examinou o conteúdo, o arquivo parecia conter um arquivo de vídeo .MPEG e não foi bloqueado ou filtrado”, relatou a empresa. “Ao abrir com ferramentas populares de extração de arquivo, como 7-Zip ou Power ISO, o arquivo parecia conter um arquivo de vídeo .MPEG, que não reproduzia. No entanto, quando aberto em um cliente Outlook ou por meio do gerenciador de arquivos do Windows Explorer, o arquivo .MPEG foi identificado corretamente como um arquivo .HTML.”
Fonte: TheHackerNews
