تخدع عملية التصيد الاحتيالي في OneDrive المستخدمين لتشغيل برنامج PowerShell النصي الضار
يحذر باحثو الأمن السيبراني من حملة تصيد احتيالي جديدة تستهدف مستخدمي Microsoft OneDrive بهدف تنفيذ برنامج PowerShell النصي الضار.
“تعتمد هذه الحملة بشكل كبير على أساليب الهندسة الاجتماعية لخداع المستخدمين لتنفيذ برنامج PowerShell النصي، وبالتالي تعريض أنظمتهم للخطر،” قال رافائيل بينا، الباحث الأمني في Trellix. قال في تحليل يوم الاثنين.
تقوم شركة الأمن السيبراني بتتبع حملة التصيد الاحتيالي والتنزيل “الماكرة” تحت اسم OneDrive Pastejacking.
يتم الهجوم عبر بريد إلكتروني يحتوي على ملف HTML يعرض عند فتحه صورة تحاكي صفحة OneDrive ويعرض رسالة خطأ تقول: “فشل الاتصال بالخدمة السحابية “OneDrive”. لإصلاح الخطأ، تحتاج إلى قم بتحديث ذاكرة التخزين المؤقت لـ DNS يدويًا.”
تأتي الرسالة أيضًا مع خيارين، وهما “كيفية الإصلاح” و”التفاصيل”، حيث يقوم الأخير بتوجيه مستلم البريد الإلكتروني إلى صفحة Microsoft Learn شرعية حول استكشاف أخطاء DNS وإصلاحها.
ومع ذلك، فإن النقر فوق “كيفية الإصلاح” يطالب المستخدم باتباع سلسلة من الخطوات، والتي تتضمن الضغط على “Windows Key + X” لفتح قائمة الارتباط السريع، وتشغيل محطة PowerShell، ولصق أمر مشفر بـ Base64 لإصلاح المشكلة المفترضة. مشكلة.
“الامر […] وأوضح بينا أنه يقوم أولاً بتشغيل ipconfig /flushdns، ثم يقوم بإنشاء مجلد على محرك الأقراص C: باسم “التنزيلات”. وبعد ذلك، يقوم بتنزيل ملف أرشيف في هذا الموقع، ويعيد تسميته، ويستخرج محتوياته (“script.a3x” و” AutoIt3.exe’)، وينفذ script.a3x باستخدام AutoIt3.exe.”
وقد لوحظ أن الحملة تستهدف المستخدمين في الولايات المتحدة وكوريا الجنوبية وألمانيا والهند وأيرلندا وإيطاليا والنرويج والمملكة المتحدة
يعتمد الكشف على نتائج مماثلة من ReliaQuest وProofpoint وMcAfee Labs، مما يشير إلى أن هجمات التصيد الاحتيالي التي تستخدم هذه التقنية – والتي يتم تتبعها أيضًا باسم ClickFix – أصبحت منتشرة بشكل متزايد.
ويأتي هذا التطوير وسط اكتشاف حملة هندسة اجتماعية جديدة تعتمد على البريد الإلكتروني توزيع ملفات اختصارات Windows الزائفة التي تؤدي إلى تنفيذ حمولات ضارة مستضافة على البنية التحتية لشبكة توصيل المحتوى (CDN) الخاصة بـ Discord.
كما تمت ملاحظة حملات التصيد الاحتيالي بشكل متزايد، مثل إرسال نماذج Microsoft Office من حسابات بريد إلكتروني مشروعة تم اختراقها مسبقًا لإغراء الأهداف بالكشف عن بيانات اعتماد تسجيل الدخول إلى Microsoft 365 الخاصة بهم من خلال النقر على رابط يبدو غير ضار.
“يقوم المهاجمون بإنشاء نماذج ذات مظهر شرعي في Microsoft Office Forms، مع تضمين روابط ضارة داخل النماذج،” Perception Point قال. “يتم بعد ذلك إرسال هذه النماذج إلى الأهداف بشكل جماعي عبر البريد الإلكتروني تحت ستار الطلبات المشروعة مثل تغيير كلمات المرور أو الوصول إلى المستندات المهمة، ومحاكاة المنصات والعلامات التجارية الموثوقة مثل Adobe أو Microsoft SharePoint document viewer.”
علاوة على ذلك، هناك موجات هجومية أخرى المستخدمة إغراءات تحت عنوان الفاتورة لخداع الضحايا لمشاركة بيانات الاعتماد الخاصة بهم على صفحات التصيد المستضافة على Cloudflare R2 والتي يتم بعد ذلك تسربها إلى جهة التهديد عبر روبوت Telegram.
ليس من المستغرب أن يبحث الخصوم باستمرار عن طرق مختلفة لتهريب البرامج الضارة خلسة عبر بوابات البريد الإلكتروني الآمنة (SEGs) وذلك لزيادة احتمالية نجاح هجماتهم.
وفقًا لتقرير حديث من Cofense، فإن الجهات الفاعلة السيئة تسيء استخدام الطريقة التي تقوم بها SEGs بفحص مرفقات أرشيف ZIP لتسليم أداة سرقة معلومات Formbook عن طريق DBatLoader (المعروف أيضًا باسم ModiLoader وNatsoLoader).
على وجه التحديد، يتضمن ذلك تمرير حمولة HTML كملف MPEG لتجنب الكشف من خلال الاستفادة من حقيقة أن العديد من مستخرجات الأرشيف الشائعة ومجموعات SEG تقوم بتحليل معلومات رأس الملف ولكنها تتجاهل تذييل الملف الذي قد يحتوي على معلومات أكثر دقة حول تنسيق الملف.
“استخدمت الجهات الفاعلة في التهديد مرفق أرشيف بتنسيق ZIP. وعندما قام SEG بفحص محتويات الملف، تم اكتشاف الأرشيف على أنه يحتوي على ملف فيديو بتنسيق MPEG ولم يتم حظره أو تصفيته،” الشركة ذُكر.
“عندما تم فتح هذا المرفق باستخدام أدوات استخراج الأرشيف الشائعة/الشائعة مثل 7-Zip أو Power ISO، بدا أيضًا أنه يحتوي على ملف فيديو بتنسيق .MPEG، ولكن لم يتم تشغيله. ومع ذلك، عندما تم فتح الأرشيف في عميل Outlook أو عبر مدير أرشيف Windows Explorer، يتم اكتشاف ملف .MPEG (بشكل صحيح) باعتباره ملف .HTML [file]”.
إرسال التعليق