Pesquisadores de segurança cibernética estão alertando sobre uma nova campanha de phishing que tem como alvo usuários do Microsoft OneDrive com o objetivo de executar um script malicioso do PowerShell.
“Esta campanha depende fortemente de táticas de engenharia social para enganar os usuários e fazê-los executar um script do PowerShell, comprometendo assim seus sistemas”, disse o pesquisador de segurança da Trellix, Rafael Pena, em uma análise na segunda-feira.
A empresa de segurança cibernética está rastreando a campanha “astuta” de phishing e downloader sob o nome OneDrive Pastejacking.
O ataque acontece por meio de um e-mail contendo um arquivo HTML que, quando aberto, exibe uma imagem simulando uma página do OneDrive e exibe uma mensagem de erro que diz: “Falha ao conectar ao serviço de nuvem 'OneDrive'. Para corrigir o erro, você precisa atualizar o cache DNS manualmente.”
A mensagem também vem com duas opções, “Como corrigir” e “Detalhes”, com esta última direcionando o destinatário do e-mail para uma página legítima do Microsoft Be taught sobre solução de problemas de DNS.
No entanto, clicar em “Como corrigir” solicita que o usuário siga uma série de etapas, que incluem pressionar “Tecla Home windows + X” para abrir o menu Fast Hyperlink, iniciar o terminal do PowerShell e colar um comando codificado em Base64 para supostamente corrigir o problema.
“O comando (…) primeiro executa ipconfig /flushdns, então cria uma pasta na unidade C: chamada 'downloads'”, explicou Pena. “Posteriormente, ele baixa um arquivo compactado para esse native, renomeia-o, extrai seu conteúdo ('script.a3x' e 'AutoIt3.exe') e executa script.a3x usando AutoIt3.exe.”
A campanha foi observada visando usuários nos EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido
A divulgação se baseia em descobertas semelhantes da ReliaQuest, Proofpoint e McAfee Labs, indicando que ataques de phishing que empregam essa técnica – também rastreada como ClickFix – estão se tornando cada vez mais prevalentes.
O desenvolvimento ocorre em meio à descoberta de uma nova campanha de engenharia social baseada em e-mail que distribui arquivos de atalho falsos do Home windows que levam à execução de cargas maliciosas hospedadas na infraestrutura de Rede de Distribuição de Conteúdo (CDN) do Discord.
Campanhas de phishing também têm sido cada vez mais observadas, como o envio de formulários do Microsoft Workplace de contas de e-mail legítimas previamente comprometidas para induzir alvos a divulgar suas credenciais de login do Microsoft 365 clicando em um hyperlink aparentemente inócuo.
“Os invasores criam formulários aparentemente legítimos no Microsoft Workplace Types, incorporando hyperlinks maliciosos dentro dos formulários”, disse a Notion Level. “Esses formulários são então enviados aos alvos em massa por e-mail sob o disfarce de solicitações legítimas, como alteração de senhas ou acesso a documentos importantes, imitando plataformas e marcas confiáveis como o visualizador de documentos Adobe ou Microsoft SharePoint.”
Além disso, outras ondas de ataque utilizaram iscas com temas de faturas para induzir as vítimas a compartilhar suas credenciais em páginas de phishing hospedadas no Cloudflare R2, que são então repassadas ao agente da ameaça por meio de um bot do Telegram.
Não é surpresa que os adversários estejam constantemente à procura de diferentes maneiras de contrabandear malware furtivamente pelos Safe E-mail Gateways (SEGs) para aumentar a probabilidade de sucesso de seus ataques.
De acordo com um relatório recente da Cofense, criminosos estão abusando da maneira como os SEGs escaneiam anexos de arquivos ZIP para entregar o ladrão de informações Formbook por meio do DBatLoader (também conhecido como ModiLoader e NatsoLoader).
Especificamente, isso envolve passar a carga HTML como um arquivo MPEG para evitar a detecção, aproveitando o fato de que muitos extratores de arquivos comuns e SEGs analisam as informações do cabeçalho do arquivo, mas ignoram o rodapé do arquivo, que pode conter informações mais precisas sobre o formato do arquivo.
“Os agentes da ameaça utilizaram um anexo de arquivo .ZIP e, quando o SEG escaneou o conteúdo do arquivo, o arquivo foi detectado como contendo um arquivo de vídeo .MPEG e não foi bloqueado ou filtrado”, observou a empresa.
“Quando este anexo foi aberto com ferramentas comuns/populares de extração de arquivo, como 7-Zip ou Energy ISO, ele também pareceu conter um arquivo de vídeo .MPEG, mas não foi reproduzido. No entanto, quando o arquivo foi aberto em um cliente Outlook ou por meio do gerenciador de arquivos do Home windows Explorer, o arquivo .MPEG foi (corretamente) detectado como sendo um .HTML (arquivo).”
