Новости Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.403
Репутация
11.800
Реакции
62.061
RUB
50
Киберпреступники запустили новую фишинговую кампанию, нацеленную на пользователей Microsoft OneDrive.

С помощью приёмов социальной инженерии злоумышленники заставляют жертв запустить PowerShell-скрипт. О новой активности фишеров сообщили исследователи из компании Trellix, присвоившие ей кодовое имя «OneDrive Pastejacking».

onedrive_phishing_scam_news.png


Рафаэль Пенья, один из экспертов, пишет в блоге: «Эта кампания плотно завязана на использовании социальной инженерии. Задача — заставить пользователей выполнить скрип PowerShell, что приведёт к компрометации системы».

Всё начинается с электронного письма, в котором содержится HTML-файл, при открытии которого получателю демонстрируется страница OneDrive с сообщением об ошибке: «Невозможно соединиться с облачным сервисом OneDrive. Для устранения ошибки вам нужно обновить DNS-кеш вручную».

1-windws.webp


В этом сообщении есть две опции: «Как исправить» и «Детали». Последняя перенаправляет пользователя на подлинную страницу Microsoft Learn, посвящённую устранению неполадок с DNS.

Если же кликнуть на первую ссылку («Как исправить»), получателю предложат выполнить ряд шагов, включая нажатие комбинации клавиш «Windows + X», запуск PowerShell-терминала и вставку Base64-команды, которая должна устранить проблемы. «Эта команда сначала запустит ipconfig /flushdns и создаст директорию “downloads“ в корне диска C.

Далее она загрузит архив в эту папку, переименует его и распакует содержимое», — объясняет Пенья. «В архиве лежат файлы script.a3x и AutoIt3.exe. Первым делом стартует последний, с помощью которого запускается скрипт script.a3x».


 
Сверху Снизу