针对Microsoft OneDrive用户的网络钓鱼活动

在过去的几周里，Trellix 高级研究中心观察到针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。威胁行为者依靠社会工程策略来诱骗用户执行 PowerShell 脚本，从而导致他们的系统受到威胁。

攻击链首先诱骗收件人点击一个按钮，该按钮声称可以解释如何修复 DNS 问题，这表明解决此问题将授予对所需文件的访问权限。

“攻击按如下方式展开：受害者收到一封包含.html文件的电子邮件。当打开此.html文件时，它会显示一个图像，旨在创建访问文档的紧迫感，从而增加用户按照提供的说明进行操作的可能性。“该图像模拟一个Microsoft OneDrive 页面，其中显示一个名为”Reports.pdf“的文件和一个名为”错误 0x8004de86“的窗口，其中包含以下错误消息：”无法连接到’OneDrive’云服务。要修复此错误，您需要手动更新 DNS 缓存。此窗口有两个按钮：“详细信息”和“如何修复”。值得注意的是，错误 0x8004de80 是登录 OneDrive 时可能发生的合法问题。

单击“详细信息”按钮可将用户定向到“DNS 疑难解答”上的合法 Microsoft Learn 页面。

单击“如何修复”后，收件人将被指示遵循一系列步骤，其中包括打开快速链接菜单（Windows 键 + X）、访问 Windows PowerShell 终端、粘贴命令并执行它以解决问题的具体说明。

“如上图所示，该命令首先运行 ipconfig /flushdns，然后在 C： 驱动器上创建一个名为”downloads“的文件夹。随后，它将存档文件下载到此位置，重命名它，提取其内容（“script.a3x”和“AutoIt3.exe”），并使用 AutoIt3.exe 执行 script.a3x。最后，将显示以下消息：“操作已成功完成，请重新加载页面。

Trellix 报告称，该活动针对的大多数用户位于美国 （40%）、韩国 （17%）、德国 （14%） 和印度 （10%）。

报告总结道：“这次攻击的全球分布凸显了国际合作和情报共享的必要性，以有效应对这些威胁，”该报告还提供了妥协指标（IoC）。