Los investigadores de ciberseguridad advierten sobre una nueva campaña de phishing que se dirige a los usuarios de Microsoft OneDrive con el objetivo de ejecutar un script de PowerShell malicioso.
«Esta campaña se basa en gran medida en tácticas de ingeniería social para engañar a los usuarios para que ejecuten un script de PowerShell, comprometiendo así sus sistemas», dijo el investigador de seguridad de Trellix, Rafael Peña , en un análisis del lunes.
La empresa de ciberseguridad está rastreando la campaña de phishing y descarga «astuta» bajo el nombre OneDrive Pastejacking.
El ataque se desarrolla a través de un correo electrónico que contiene un archivo HTML que, al abrirse, muestra una imagen que simula una página de OneDrive e incluye el mensaje de error que dice: «Error al conectarse al servicio en la nube ‘OneDrive’. Para corregir el error, debe actualizar la caché DNS manualmente».
El mensaje también viene con dos opciones, a saber, «Cómo solucionarlo» y «Detalles», esta última dirige al destinatario del correo electrónico a una página legítima de Microsoft Learn sobre solución de problemas de DNS.
Sin embargo, al hacer clic en «Cómo solucionarlo», el usuario debe seguir una serie de pasos, que incluyen presionar «Tecla Windows + X» para abrir el menú Enlace rápido, iniciar la terminal de PowerShell y pegar un comando codificado en Base64 para supuestamente solucionar el problema.
«El comando […] primero ejecuta ipconfig /flushdns, luego crea una carpeta en la unidad C: llamada ‘downloads'», explicó Pena. «A continuación, descarga un archivo en esta ubicación, le cambia el nombre, extrae su contenido (‘script.a3x’ y ‘AutoIt3.exe’) y ejecuta script.a3x utilizando AutoIt3.exe».
Se ha observado que la campaña está dirigida a usuarios de EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.
La divulgación se basa en hallazgos similares de ReliaQuest, Proofpoint y McAfee Labs , que indican que los ataques de phishing que emplean esta técnica, también conocida como ClickFix, son cada vez más frecuentes.
El desarrollo se produce en medio del descubrimiento de una nueva campaña de ingeniería social basada en correo electrónico que distribuye archivos de acceso directo de Windows falsos que conducen a la ejecución de cargas útiles maliciosas alojadas en la infraestructura de la red de entrega de contenido (CDN) de Discord.
También se han observado cada vez más campañas de phishing que envían correos electrónicos que contienen enlaces a formularios de Microsoft Office desde cuentas de correo electrónico legítimas previamente comprometidas para incitar a los objetivos a que divulguen sus credenciales de inicio de sesión de Microsoft 365 con el pretexto de restaurar sus mensajes de Outlook.
«Los atacantes crean formularios de apariencia legítima en Microsoft Office Forms, insertando enlaces maliciosos en ellos», dijo Perception Point . «Luego, estos formularios se envían a los objetivos en masa por correo electrónico bajo la apariencia de solicitudes legítimas, como cambiar contraseñas o acceder a documentos importantes, imitando plataformas y marcas confiables como Adobe o el visor de documentos de Microsoft SharePoint».
Es más, otras oleadas de ataques han utilizado señuelos con temas de facturas para engañar a las víctimas para que compartan sus credenciales en páginas de phishing alojadas en Cloudflare R2 que luego se filtran al actor de amenazas a través de un bot de Telegram.
No sorprende que los adversarios estén constantemente buscando formas diferentes de introducir sigilosamente malware a través de los Secure Email Gateways (SEG) para aumentar la probabilidad de éxito de sus ataques.
Según un informe reciente de Cofense, los actores maliciosos están abusando de la forma en que los SEG escanean los archivos adjuntos de los archivos ZIP para entregar el ladrón de información Formbook por medio de DBatLoader (también conocido como ModiLoader y NatsoLoader).
En concreto, esto implica hacer pasar la carga útil HTML como un archivo MPEG para evadir la detección aprovechando el hecho de que muchos extractores de archivos y SEG comunes analizan la información del encabezado del archivo pero ignoran el pie de página, que puede contener información más precisa sobre el formato del archivo.
«Los actores de la amenaza utilizaron un archivo adjunto en formato .ZIP y cuando el SEG escaneó el contenido del archivo, se detectó que el archivo contenía un archivo de video .MPEG y no fue bloqueado ni filtrado», señaló la compañía .
«Cuando se abrió este archivo adjunto con herramientas de extracción de archivos comunes y populares, como 7-Zip o Power ISO, también parecía contener un archivo de video .MPEG, pero no se pudo reproducir. Sin embargo, cuando se abrió el archivo en un cliente Outlook o a través del administrador de archivos de Windows Explorer, el archivo .MPEG se detectó (correctamente) como un [archivo] .HTML».
Fuente y redacción: thehackernews.com