OneDrive フィッシング詐欺

サイバーセキュリティの専門家は、Microsoft OneDrive ユーザーを狙った新しいフィッシング キャンペーンについて警告しています。このキャンペーンは、高度なソーシャル エンジニアリング手法を使用して有害な PowerShell スクリプトを展開し、ユーザーをだましてスクリプトを実行させ、システムを侵害することを目的としています。研究者は、OneDrive Pastejacking と名付けたこの革新的なフィッシングおよびダウンローダー キャンペーンを監視しています。

攻撃者はOneDriveを模倣して被害者を騙す

攻撃は HTML ファイルを含む電子メールから始まります。このファイルを開くと、OneDrive ページを模倣した画像が表示され、「'OneDrive' クラウド サービスに接続できませんでした。この問題を解決するには、DNS キャッシュを手動で更新してください。」というエラー メッセージが表示されます。

メールには、「修正方法」と「詳細」の 2 つのオプションがあります。「詳細」リンクをクリックすると、DNS のトラブルシューティングに関する正規の Microsoft Learn ページにユーザーが誘導されます。

ただし、「修正方法」をクリックすると、ユーザーは一連の手順を実行することになります。この手順では、「Windows キー + X」を押してクイック リンク メニューにアクセスし、PowerShell ターミナルを開いて、問題を修正するための Base64 でエンコードされたコマンドを貼り付けます。

このコマンドは、まず ipconfig /flushdns を実行し、次に C: ドライブに「downloads」という名前のフォルダを作成します。次に、このフォルダにアーカイブ ファイルをダウンロードし、名前を変更し、その内容 (「script.a3x」と「AutoIt3.exe」を含む) を抽出し、「script.a3x」を「AutoIt3.exe」で実行します。

フィッシングの手口は新たな手口を採用している

OneDrive Pastejackingフィッシングキャンペーンが、米国、韓国、ドイツ、インド、アイルランド、イタリア、ノルウェー、英国のユーザーをターゲットにしていることが検知されました。

この発見は、ClickFix として知られる、より一般的になりつつある同様のフィッシング手法に関する以前の調査に続くものです。

さらに、Discord のコンテンツ配信ネットワーク (CDN) でホストされている悪意のあるペイロードをトリガーする偽の Windows ショートカット ファイルを配布する、新しい電子メール ベースのソーシャル エンジニアリング スキームも登場しています。

攻撃者は正規のアカウントを悪用している

フィッシング キャンペーンでは、侵害された正規のアカウントから Microsoft Office Forms へのリンクを含む電子メールを使用して、ターゲットを騙し、Microsoft 365 のログイン資格情報を明らかにさせるケースが増えています。口実には、Outlook メッセージの復元が含まれることがよくあります。

攻撃者は Microsoft Office Forms で説得力のあるフォームを設計し、その中に安全でないリンクを埋め込みます。これらのフォームは、パスワードの変更や重要なドキュメントへのアクセスなどの正当なリクエストを装って、電子メールで大量に送信され、Adobe や Microsoft SharePoint などの信頼できるプラットフォームを模倣することがよくあります。

さらに、他のフィッシング攻撃では、請求書をテーマにした餌を使って被害者を誘い込み、Cloudflare R2 でホストされているフィッシング ページで認証情報を入力させ、収集した情報を Telegram ボット経由で攻撃者に送信しています。

攻撃者が攻撃の成功率を高めるために、セキュア メール ゲートウェイ (SEG) を回避する新しい方法を継続的に模索していることは明らかです。