OneDrive-Phishing-Betrug
Cybersicherheitsexperten haben vor einer neuen Phishing-Kampagne gewarnt, die auf Microsoft OneDrive-Benutzer abzielt. Ziel dieser Kampagne ist die Bereitstellung eines schädlichen PowerShell-Skripts. Dabei kommen ausgefeilte Social-Engineering-Techniken zum Einsatz, um Benutzer dazu zu bringen, das Skript auszuführen und ihre Systeme zu kompromittieren. Die Forscher beobachten diese innovative Phishing- und Downloader-Kampagne, die sie OneDrive Pastejacking getauft haben.
Inhaltsverzeichnis
Die Angreifer imitieren OneDrive, um Opfer auszutricksen
Der Angriff beginnt mit einer E-Mail, die eine HTML-Datei enthält. Beim Öffnen wird ein Bild angezeigt, das einer OneDrive-Seite ähnelt, und es wird die folgende Fehlermeldung angezeigt: „Die Verbindung zum Cloud-Dienst ‚OneDrive‘ konnte nicht hergestellt werden. Um dieses Problem zu beheben, aktualisieren Sie den DNS-Cache manuell.“
In der E-Mail stehen zwei Optionen zur Verfügung: „So beheben Sie das Problem“ und „Details“. Über den Link „Details“ werden die Benutzer zu einer echten Microsoft Learn-Seite zur DNS-Fehlerbehebung weitergeleitet.
Wenn Sie jedoch auf „So beheben Sie das Problem“ klicken, werden die Benutzer durch eine Reihe von Schritten geführt. Dazu müssen sie „Windows-Taste + X“ drücken, um auf das Quick Link-Menü zuzugreifen, das PowerShell-Terminal öffnen und einen Base64-codierten Befehl einfügen, der das Problem beheben soll.
Dieser Befehl führt zuerst ipconfig /flushdns aus und erstellt dann einen Ordner mit dem Namen „Downloads“ auf dem Laufwerk C:. Anschließend lädt er eine Archivdatei in diesen Ordner herunter, benennt sie um, extrahiert ihren Inhalt (darunter „script.a3x“ und „AutoIt3.exe“) und führt „script.a3x“ mit „AutoIt3.exe“ aus.
Phishing-Taktiken wenden neue Tricks an
Die OneDrive Pastejacking-Phishing-Kampagne zielte auf Benutzer in den USA, Südkorea, Deutschland, Indien, Irland, Italien, Norwegen und Großbritannien ab.
Diese Entdeckung folgt auf frühere Untersuchungen zu ähnlichen Phishing-Taktiken, die unter dem Namen ClickFix bekannt sind und immer häufiger eingesetzt werden.
Darüber hinaus ist ein neues E-Mail-basiertes Social-Engineering-Schema aufgetaucht, das gefälschte Windows-Verknüpfungsdateien verteilt, die bösartige Payloads auslösen, die auf dem Content Delivery Network (CDN) von Discord gehostet werden.
Die Angreifer nutzen legitime Konten aus
Phishing-Kampagnen verwenden immer häufiger E-Mails mit Links zu Microsoft Office-Formularen von kompromittierten legitimen Konten, um Opfer dazu zu bringen, ihre Microsoft 365-Anmeldeinformationen preiszugeben. Der Vorwand besteht oft darin, Outlook-Nachrichten wiederherzustellen.
Angreifer entwerfen überzeugende Formulare auf Microsoft Office Forms und betten darin unsichere Links ein. Diese Formulare werden in Massen per E-Mail versendet und als legitime Anfragen getarnt, beispielsweise zur Änderung von Passwörtern oder zum Zugriff auf wichtige Dokumente. Dabei imitieren sie häufig vertrauenswürdige Plattformen wie Adobe oder Microsoft SharePoint.
Bei anderen Phishing-Versuchen wurden darüber hinaus Köder mit Rechnungsmotiven eingesetzt, um die Opfer dazu zu verleiten, ihre Anmeldeinformationen auf Phishing-Seiten einzugeben, die auf Cloudflare R2 gehostet wurden. Die gesammelten Informationen wurden den Angreifern dann über einen Telegram-Bot übermittelt.
Es ist klar, dass Angreifer ständig neue Methoden entwickeln, um Secure Email Gateways (SEGs) zu umgehen und so die Erfolgsquote ihrer Angriffe zu erhöhen.
