Estafa de Phishing en OneDrive hace que usuarios ejecuten Script Malicioso

Iniciado por Dragora, Julio 30, 2024, 09:17:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Campaña de phishing en OneDrive

Investigadores de ciberseguridad han identificado una nueva campaña de phishing dirigida a usuarios de Microsoft OneDrive, diseñada para ejecutar un script malicioso de PowerShell. Esta campaña, rastreada por Trellix como OneDrive Pastejacking, utiliza tácticas de ingeniería social para comprometer los sistemas de los usuarios.

Ingeniería social y tácticas de ataque

"Esta campaña se basa en tácticas de ingeniería social para engañar a los usuarios y ejecutar un script de PowerShell, comprometiendo así sus sistemas", explicó Rafael Peña, investigador de seguridad de Trellix. El ataque comienza con un correo electrónico que contiene un archivo HTML. Al abrirlo, se muestra una imagen que simula una página de OneDrive con un mensaje de error falso que dice: "No se pudo conectar al servicio en la nube 'OneDrive'. Para corregir el error, debe actualizar la caché de DNS manualmente".

Método de ataque

El mensaje ofrece dos opciones: "Cómo solucionarlo" y "Detalles". La opción "Detalles" dirige a una página legítima de Microsoft Learn sobre solución de problemas de DNS, pero "Cómo solucionarlo" guía al usuario a seguir una serie de pasos que incluyen abrir PowerShell y pegar un comando codificado en Base64. Este comando ejecuta ipconfig /flushdns, crea una carpeta llamada 'descargas' en la unidad C:, descarga un archivo, lo renombra, extrae su contenido y ejecuta un script malicioso utilizando AutoIt3.exe.

La campaña ha afectado a usuarios en Estados Unidos, Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.

Estos hallazgos coinciden con investigaciones de ReliaQuest, Proofpoint y McAfee Labs, que también han observado un aumento en los ataques de phishing utilizando esta técnica, conocida como ClickFix.

Paralelamente, se han descubierto campañas de phishing que distribuyen archivos de acceso directo falsos de Windows y que utilizan la infraestructura de la red de entrega de contenido (CDN) de Discord para alojar cargas útiles maliciosas. Además, se ha observado un aumento en las campañas de phishing que envían correos electrónicos con enlaces a formularios de Microsoft Office creados para robar credenciales de Microsoft 365.

Evasión de detección

Los atacantes utilizan técnicas avanzadas para evadir la detección por pasarelas de correo electrónico seguras (SEG). Por ejemplo, Cofense informó que los atacantes están abusando de cómo los SEG escanean archivos adjuntos ZIP, disfrazando cargas maliciosas como archivos MPEG para evadir la detección. Cuando estos archivos se abren en clientes de Outlook o en el Explorador de Windows, se detectan correctamente como archivos HTML maliciosos.

En fin, los ataques de phishing son una amenaza creciente para los usuarios de OneDrive y otras plataformas. La continua evolución de las tácticas de phishing y la sofisticación de los métodos de evasión subrayan la necesidad de una ciberseguridad robusta y una mayor concienciación sobre los riesgos de ingeniería social.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta