Gli esperti di cybersecurity stanno lanciando un allarme riguardo a una nuova campagna di phishing che mira agli utenti di Microsoft OneDrive con l'intento di eseguire uno script PowerShell dannoso. Questi attacchi, che sfruttano tecniche di ingegneria sociale, sono progettati per ingannare gli utenti inducendoli a eseguire comandi che compromettono i loro sistemi.

OneDrive Pastejacking

La campagna, denominata OneDrive Pastejacking, si svolge attraverso un'email contenente un file HTML. Quando questo file viene aperto, mostra un'immagine che simula una pagina di OneDrive e include un messaggio di errore che dice: "Impossibile connettersi al servizio cloud 'OneDrive'. Per risolvere l'errore, è necessario aggiornare manualmente la cache DNS." L'email offre due opzioni: "Come risolvere" e "Dettagli". L'opzione "Dettagli" reindirizza l'utente a una pagina legittima di Microsoft Learn su come risolvere i problemi DNS, mentre "Come risolvere" guida l'utente attraverso una serie di passaggi che includono l'apertura del terminale PowerShell e l'incollamento di un comando codificato in Base64.

Il comando esegue una serie di azioni: prima esegue il comando ipconfig /flushdns, poi crea una cartella sul disco C: denominata 'downloads', scarica un file di archivio in questa posizione, lo rinomina, ne estrae il contenuto ('script.a3x' e 'AutoIt3.exe'), ed esegue script.a3x utilizzando AutoIt3.exe. Questa campagna ha preso di mira utenti negli Stati Uniti, Corea del Sud, Germania, India, Irlanda, Italia, Norvegia e Regno Unito.

Altri Risultati Simili

Questa scoperta si basa su risultati simili di altre società di sicurezza come ReliaQuest, Proofpoint e McAfee Labs, indicando che gli attacchi di phishing che utilizzano questa tecnica stanno diventando sempre più comuni. Inoltre, è stata rilevata una nuova campagna di ingegneria sociale basata su email che distribuisce file di collegamento Windows falsi che portano all'esecuzione di payload dannosi ospitati sull'infrastruttura CDN di Discord.

Attacchi di Phishing con Microsoft Office Forms

Le campagne di phishing sono sempre più osservate inviare email contenenti link a Microsoft Office Forms da account email legittimi precedentemente compromessi. Questi attacchi cercano di indurre le vittime a fornire le loro credenziali di accesso a Microsoft 365 con il pretesto di ripristinare i messaggi di Outlook. Gli aggressori creano moduli dall'aspetto legittimo su Microsoft Office Forms, incorporando link dannosi all'interno dei moduli e inviandoli in massa via email, fingendo di essere richieste legittime come il cambio di password o l'accesso a documenti importanti.

Inviti a Tema Fattura

In un'altra ondata di attacchi, sono stati utilizzati inviti a tema fattura per indurre le vittime a condividere le loro credenziali su pagine di phishing ospitate su Cloudflare R2, successivamente esfiltrate agli attori delle minacce tramite un bot di Telegram. Gli attori delle minacce cercano costantemente nuovi modi per contrabbandare malware oltre i Secure Email Gateways (SEG) per aumentare le probabilità di successo dei loro attacchi.

Malware Formbook

Secondo un recente rapporto di Cofense, i malintenzionati stanno abusando del modo in cui i SEG scansionano gli allegati ZIP per consegnare il malware Formbook attraverso DBatLoader. Questo coinvolge il passaggio del payload HTML come file MPEG per evitare il rilevamento, sfruttando il fatto che molti estrattori di archivi comuni e SEG analizzano le informazioni dell'intestazione del file ma ignorano il piè di pagina, che può contenere informazioni più accurate sul formato del file.