Estafa de phishing de OneDrive
Los expertos en ciberseguridad han advertido sobre una nueva campaña de phishing dirigida a los usuarios de Microsoft OneDrive. Esta campaña tiene como objetivo implementar un script de PowerShell dañino mediante el empleo de sofisticadas técnicas de ingeniería social para engañar a los usuarios para que ejecuten el script y comprometan sus sistemas. Los investigadores están monitoreando esta innovadora campaña de descarga y phishing, a la que denominaron OneDrive Pastejacking.
Tabla de contenido
Los atacantes imitan OneDrive para engañar a las víctimas
El ataque comienza con un correo electrónico que contiene un archivo HTML que, cuando se abre, presenta una imagen que imita una página de OneDrive y muestra un mensaje de error que dice: "Error al conectarse al servicio en la nube 'OneDrive'. Para resolver este problema, actualice manualmente el DNS cache."
El correo electrónico ofrece dos opciones: "Cómo solucionarlo" y "Detalles". El enlace "Detalles" dirige a los usuarios a una página genuina de Microsoft Learn sobre solución de problemas de DNS.
Sin embargo, hacer clic en "Cómo solucionarlo" lleva a los usuarios a través de una serie de pasos que implican presionar la "Tecla de Windows + X" para acceder al menú de enlace rápido, abrir el terminal PowerShell y pegar un comando codificado en Base64 destinado a solucionar el problema.
Este comando primero ejecuta ipconfig /flushdns, luego crea una carpeta llamada 'descargas' en la unidad C:. Continúa descargando un archivo en esta carpeta, cambiándole el nombre, extrayendo su contenido (que incluye 'script.a3x' y 'AutoIt3.exe') y ejecutando 'script.a3x' con 'AutoIt3.exe'.
Las tácticas de phishing están adoptando nuevos trucos
Se ha detectado la campaña de phishing OneDrive Pastejacking dirigida a usuarios de EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.
Este descubrimiento sigue a investigaciones previas sobre tácticas de phishing similares, conocidas como ClickFix, que se están volviendo más comunes.
Además, ha surgido un nuevo esquema de ingeniería social basado en correo electrónico, que distribuye archivos de acceso directo falsos de Windows que desencadenan cargas útiles maliciosas alojadas en la red de entrega de contenido (CDN) de Discord.
Los atacantes explotan cuentas legítimas
Las campañas de phishing utilizan cada vez más correos electrónicos con enlaces a formularios de Microsoft Office desde cuentas legítimas comprometidas para engañar a los objetivos para que revelen sus credenciales de inicio de sesión de Microsoft 365. El pretexto suele ser restaurar mensajes de Outlook.
Los atacantes diseñan formularios convincentes en Microsoft Office Forms, incorporando enlaces inseguros en ellos. Estos formularios se envían de forma masiva por correo electrónico, haciéndose pasar por solicitudes legítimas, como cambios de contraseña o acceso a documentos importantes, y a menudo imitan plataformas confiables como Adobe o Microsoft SharePoint.
Además, otros intentos de phishing han empleado cebos con temas de facturas para atraer a las víctimas a ingresar sus credenciales en páginas de phishing alojadas en Cloudflare R2, y la información recopilada se envía a los atacantes a través de un bot de Telegram.
Está claro que los adversarios exploran continuamente nuevos métodos para eludir las puertas de enlace seguras de correo electrónico (SEG) para mejorar la tasa de éxito de sus ataques.
