Golpe de Phishing no OneDrive
30 de Julho de 2024

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha de phishing que tem como alvo usuários do Microsoft OneDrive com o objetivo de executar um script malicioso do PowerShell.

"Esta campanha depende fortemente de táticas de engenharia social para enganar os usuários a executarem um script do PowerShell, comprometendo assim seus sistemas", disse o pesquisador de segurança da Trellix, Rafael Pena, em uma análise na segunda-feira(29).

A empresa de cibersegurança está monitorando a campanha de phishing e downloader "astuta" sob o nome OneDrive Pastejacking.

O ataque se desdobra via um email contendo um arquivo HTML que, ao ser aberto, exibe uma imagem simulando uma página do OneDrive e inclui a mensagem de erro que diz:

"Falha ao conectar ao serviço de nuvem 'OneDrive'. Para corrigir o erro, você precisa atualizar o cache do DNS manualmente."

A mensagem também vem com duas opções, nomeadamente "Como corrigir" e "Detalhes", sendo que esta última direciona o destinatário do email para uma página legítima da Microsoft Learn sobre Solução de Problemas de DNS.

No entanto, clicar em "Como corrigir" solicita ao usuário que siga uma série de passos, que inclui pressionar "Tecla Windows + X" para abrir o menu de Link Rápido, lançar o terminal do PowerShell e colar um comando codificado em Base64 para supostamente corrigir o problema.

"O comando [...] primeiro executa ipconfig /flushdns, em seguida cria uma pasta no disco C: chamada 'downloads'", explicou Pena.

"Posteriormente, ele baixa um arquivo de arquivamento para este local, renomeia-o, extrai seu conteúdo ('script.a3x' e 'AutoIt3.exe') e executa o script.a3x usando o AutoIt3.exe."

A campanha foi observada mirando usuários nos EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido.

A divulgação se baseia em descobertas semelhantes da ReliaQuest, Proofpoint e McAfee Labs, indicando que ataques de phishing que empregam essa técnica – também monitorados como ClickFix – estão se tornando cada vez mais prevalentes.

O desenvolvimento ocorre em meio à descoberta de uma nova campanha de engenharia social baseada em email distribuindo arquivos de atalho do Windows falsos que levam à execução de payloads maliciosos hospedados na infraestrutura da rede de entrega de conteúdo (CDN) do Discord.

Campanhas de phishing tambêm têm sido observadas enviando emails contendo links para Microsoft Office Forms de contas de email legítimas previamente comprometidas para atrair alvos a divulgarem suas credenciais de login do Microsoft 365 sob o pretexto de restaurar suas mensagens do Outlook.

"Os atacantes criam formulários de aparência legítima no Microsoft Office Forms, incorporando links maliciosos dentro dos formulários", disse Perception Point.

"Esses formulários são então enviados em massa para alvos via email sob o disfarce de solicitações legítimas, como mudança de senhas ou acesso a documentos importantes, imitando plataformas e marcas confiáveis como Adobe ou visualizador de documentos do Microsoft SharePoint."

Além disso, outras ondas de ataque utilizaram iscas temáticas de fatura para enganar as vítimas a compartilharem suas credenciais em páginas de phishing hospedadas no Cloudflare R2 que são exfiltradas para o ator de ameaça via um bot do Telegram.

Não é surpresa que os adversários estejam constantemente em busca de diferentes maneiras de contrabandear malware de forma furtiva passo pelos Gateways de Email Seguros (SEGs) a fim de aumentar a probabilidade de sucesso de seus ataques.

Segundo um relatório recente da Cofense, atores mal-intencionados estão abusando de como os SEGs escaneiam anexos de arquivo ZIP para entregar o ladrão de informações Formbook por meio do DBatLoader (também conhecido como ModiLoader e NatsoLoader).

Especificamente, isso envolve apresentar o payload malicioso HTML como um arquivo MPEG para evadir a detecção, tirando vantagem do fato de que muitos extratores de arquivos comuns e SEGs analisam as informações do cabeçalho do arquivo, mas ignoram o rodapé do arquivo que pode conter informações mais precisas sobre o formato do arquivo.

"Os atores de ameaças utilizaram um anexo de arquivo ZIP e quando o SEG escaneou o conteúdo do arquivo, o arquivo foi detectado como contendo um arquivo de vídeo MPEG e não foi bloqueado ou filtrado", observou a empresa.

Quando esse anexo foi aberto com ferramentas comuns/populares de extração de arquivos, como o 7-Zip ou o Power ISO, ele também parecia conter um arquivo de vídeo MPEG, mas ele não reproduzia.

No entanto, quando o arquivo foi aberto em um cliente do Outlook ou via o gerenciador de arquivos compactados do Windows Explorer, o arquivo MPEG é (corretamente) detectado como sendo um arquivo HTML.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...