针对Microsoft OneDrive用户的网络钓鱼活动

阅读量63758

发布时间 : 2024-07-31 11:19:47

x
译文声明

本文是翻译文章,文章原作者 Pierluigi Paganini,文章来源:securityaffairs

原文地址:https://securityaffairs.com/166312/hacking/microsoft-onedrive-phishing.html

译文仅供参考,具体内容表达以及含义原文为准。

在过去的几周里,Trellix 高级研究中心观察到针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。威胁行为者依靠社会工程策略来诱骗用户执行 PowerShell 脚本,从而导致他们的系统受到威胁。

攻击链首先诱骗收件人点击一个按钮,该按钮声称可以解释如何修复 DNS 问题,这表明解决此问题将授予对所需文件的访问权限。

“攻击按如下方式展开:受害者收到一封包含.html文件的电子邮件。当打开此.html文件时,它会显示一个图像,旨在创建访问文档的紧迫感,从而增加用户按照提供的说明进行操作的可能性。“该图像模拟一个Microsoft OneDrive 页面,其中显示一个名为”Reports.pdf“的文件和一个名为”错误 0x8004de86“的窗口,其中包含以下错误消息:”无法连接到’OneDrive’云服务。要修复此错误,您需要手动更新 DNS 缓存。此窗口有两个按钮:“详细信息”和“如何修复”。值得注意的是,错误 0x8004de80 是登录 OneDrive 时可能发生的合法问题。

Microsoft OneDrive 网络钓鱼

单击“详细信息”按钮可将用户定向到“DNS 疑难解答”上的合法 Microsoft Learn 页面。

单击“如何修复”后,收件人将被指示遵循一系列步骤,其中包括打开快速链接菜单(Windows 键 + X)、访问 Windows PowerShell 终端、粘贴命令并执行它以解决问题的具体说明。

“如上图所示,该命令首先运行 ipconfig /flushdns,然后在 C: 驱动器上创建一个名为”downloads“的文件夹。随后,它将存档文件下载到此位置,重命名它,提取其内容(“script.a3x”和“AutoIt3.exe”),并使用 AutoIt3.exe 执行 script.a3x。最后,将显示以下消息:“操作已成功完成,请重新加载页面。

Trellix 报告称,该活动针对的大多数用户位于美国 (40%)、韩国 (17%)、德国 (14%) 和印度 (10%)。

报告总结道:“这次攻击的全球分布凸显了国际合作和情报共享的必要性,以有效应对这些威胁,”该报告还提供了妥协指标(IoC)。

本文翻译自securityaffairs 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66