Исследователи кибербезопасности из компании Trellix предупреждаюто новой фишинговой кампании, направленной на пользователей Microsoft OneDrive. Целью злоумышленников является выполнение вредоносного скрипта PowerShell.
Рафэль Пена, исследователь безопасности из компании Trellix, сообщил, что эта кампания активно использует тактики социальной инженерии для обмана пользователей с целью выполнения скрипта PowerShell, что приводит к компрометации их систем.
Trellix отслеживает эту фишинговую кампанию под названием OneDrive Pastejacking. Атака начинается с электронного письма, содержащего HTML-файл, который, при открытии, отображает изображение, имитирующее страницу OneDrive, с сообщением об ошибке: “Не удалось подключиться к облачному сервису OneDrive. Чтобы исправить ошибку, необходимо вручную обновить кэш DNS”.
Сообщение предлагает два варианта действий: “Как исправить” и “Подробности”. Нажатие на кнопку “Подробности” приводит пользователя на легитимную страницу Microsoft Learn по устранению неполадок DNS. Однако нажатие на “Как исправить” инициирует выполнение ряда шагов, включая открытие терминала PowerShell и вставку команды, закодированной в Base64, якобы для устранения ошибки.
Команда запускает “ipconfig /flushdns”, создаёт папку с названием “downloads” на диске C, загружает туда архивный файл, распаковывает его содержимое и выполняет скрипт с помощью “AutoIt3.exe”.
Эта кампания нацелена на пользователей в США, Южной Корее, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании. Подобные атаки также отслеживаются компаниями ReliaQuest, Proofpointи McAfee Labs, что свидетельствует о растущей популярности этого метода фишинга, известного как ClickFix.
Этот случай подчёркивает важность критического мышления, ведь киберпреступники постоянно совершенствуют свои методы, используя доверие людей к известным брендам и их желание быстро решить те или иные технические проблемы.
Ключом к безопасности становится не только использование антивирусных программ, но и развитие навыков распознавания подозрительных действий, особенно когда речь идёт о выполнении неизвестных команд на вашем устройстве. Выполнение сложных технических команд без веских на то причин в большинстве случаев ведёт к заражению компьютера вредоносным ПО.