Escroquerie par hameçonnage OneDrive
Les experts en cybersécurité ont mis en garde contre une nouvelle campagne de phishing ciblant les utilisateurs de Microsoft OneDrive. Cette campagne vise à déployer un script PowerShell nuisible en employant des techniques d'ingénierie sociale sophistiquées pour inciter les utilisateurs à exécuter le script et à compromettre leurs systèmes. Les chercheurs surveillent cette campagne innovante de phishing et de téléchargement, qu’ils ont baptisée OneDrive Pastejacking.
Table des matières
Les attaquants imitent OneDrive pour tromper les victimes
L'attaque commence par un e-mail contenant un fichier HTML qui, une fois ouvert, présente une image imitant une page OneDrive et affiche un message d'erreur indiquant : "Échec de la connexion au service cloud 'OneDrive'. Pour résoudre ce problème, mettez à jour manuellement le DNS. cache."
L'e-mail propose deux options : « Comment résoudre le problème » et « Détails ». Le lien « Détails » dirige les utilisateurs vers une véritable page Microsoft Learn sur le dépannage DNS.
Cependant, cliquer sur « Comment réparer » guide les utilisateurs à travers une série d'étapes qui impliquent d'appuyer sur « Touche Windows + X » pour accéder au menu Lien rapide, d'ouvrir le terminal PowerShell et de coller une commande codée en Base64 destinée à résoudre le problème.
Cette commande exécute d'abord ipconfig /flushdns, puis crée un dossier nommé « téléchargements » sur le lecteur C:. Il procède en téléchargeant un fichier d'archive dans ce dossier, en le renommant, en extrayant son contenu (qui inclut « script.a3x » et « AutoIt3.exe ») et en exécutant « script.a3x » avec « AutoIt3.exe ».
Les tactiques de phishing adoptent de nouvelles astuces
La campagne de phishing OneDrive Pastejacking a été détectée ciblant des utilisateurs aux États-Unis, en Corée du Sud, en Allemagne, en Inde, en Irlande, en Italie, en Norvège et au Royaume-Uni.
Cette découverte fait suite à des recherches antérieures sur des tactiques de phishing similaires, connues sous le nom de ClickFix, qui sont de plus en plus courantes.
De plus, un nouveau système d'ingénierie sociale basé sur le courrier électronique a vu le jour, distribuant de faux fichiers de raccourci Windows qui déclenchent des charges utiles malveillantes hébergées sur le réseau de diffusion de contenu (CDN) de Discord.
Les attaquants exploitent des comptes légitimes
Les campagnes de phishing utilisent de plus en plus d'e-mails contenant des liens vers des formulaires Microsoft Office provenant de comptes légitimes compromis pour inciter les cibles à révéler leurs informations de connexion Microsoft 365. Le prétexte consiste souvent à restaurer les messages Outlook.
Les attaquants conçoivent des formulaires convaincants sur Microsoft Office Forms, en y intégrant des liens dangereux. Ces formulaires sont envoyés en masse par courrier électronique, se faisant passer pour des demandes légitimes, telles que des changements de mot de passe ou l'accès à des documents importants, imitant souvent des plateformes fiables comme Adobe ou Microsoft SharePoint.
De plus, d'autres tentatives de phishing ont utilisé des appâts sur le thème des factures pour inciter les victimes à saisir leurs informations d'identification sur des pages de phishing hébergées sur Cloudflare R2, les informations collectées étant envoyées aux attaquants via un robot Telegram.
Il est clair que les adversaires explorent continuellement de nouvelles méthodes pour contourner les passerelles de messagerie sécurisées (SEG) afin d'améliorer le taux de réussite de leurs attaques.
