Golpe de phishing do OneDrive engana usuários para executar script malicioso do PowerShell

Pesquisadores de segurança cibernética estão alertando sobre uma nova campanha de phishing que visa usuários do Microsoft OneDrive, com o objetivo de executar um script malicioso do PowerShell.

“Esta campanha depende fortemente de táticas de engenharia social para enganar os usuários e fazê-los executar um script do PowerShell, comprometendo assim seus sistemas”, explicou Rafael Pena, pesquisador de segurança da Trellix, em uma análise na segunda-feira.

A empresa de segurança cibernética está rastreando essa campanha “astuta” de phishing e downloader sob o nome OneDrive Pastejacking.

OneDrive

O ataque ocorre por meio de um e-mail contendo um arquivo HTML que, ao ser aberto, exibe uma imagem simulando uma página do OneDrive e apresenta uma mensagem de erro que diz: “Falha ao conectar ao serviço de nuvem ‘OneDrive’. Para corrigir o erro, você precisa atualizar o cache DNS manualmente.”

A mensagem inclui duas opções, “Como corrigir” e “Detalhes”, sendo que esta última leva o destinatário do e-mail para uma página legítima do Microsoft Learn sobre solução de problemas de DNS.

No entanto, ao clicar em “Como corrigir”, o usuário é instruído a seguir uma série de etapas, incluindo pressionar “Tecla Windows + X” para abrir o menu Quick Link, iniciar o terminal do PowerShell e colar um comando codificado em Base64, supostamente para corrigir o problema.

“O comando […] primeiro executa ipconfig /flushdns, em seguida cria uma pasta na unidade C: chamada ‘downloads'”, explicou Pena. “Depois, ele baixa um arquivo compactado para esse local, renomeia-o, extrai seu conteúdo (‘script.a3x’ e ‘AutoIt3.exe’) e executa script.a3x usando AutoIt3.exe.”

A campanha foi observada visando usuários nos EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido.

Essa divulgação é baseada em descobertas semelhantes feitas pela ReliaQuest, Proofpoint e McAfee Labs, que apontam que ataques de phishing usando essa técnica – também conhecida como ClickFix – estão se tornando cada vez mais comuns.

O desenvolvimento ocorre em paralelo à descoberta de uma nova campanha de engenharia social baseada em e-mail, que distribui arquivos de atalho falsos do Windows que levam à execução de cargas maliciosas hospedadas na infraestrutura de Rede de Distribuição de Conteúdo (CDN) do Discord.

Campanhas de phishing também têm sido observadas com maior frequência, incluindo o uso de formulários do Microsoft Office enviados de contas de e-mail legítimas previamente comprometidas para induzir alvos a revelar suas credenciais de login do Microsoft 365 ao clicar em um link aparentemente inofensivo.

“Os invasores criam formulários aparentemente legítimos no Microsoft Office Forms, inserindo links maliciosos dentro dos formulários”, explicou a Perception Point. “Esses formulários são enviados em massa aos alvos por e-mail, disfarçados como solicitações legítimas, como mudanças de senha ou acesso a documentos importantes, imitando plataformas e marcas confiáveis como o visualizador de documentos Adobe ou o Microsoft SharePoint.”

Além disso, outras campanhas têm utilizado iscas com temas de faturas para enganar as vítimas a compartilhar suas credenciais em páginas de phishing hospedadas no Cloudflare R2, que são então repassadas aos agentes maliciosos por meio de um bot no Telegram.

Não é surpresa que os atacantes estejam constantemente procurando novas maneiras de contornar os Secure Email Gateways (SEGs) para aumentar a eficácia de seus ataques.

De acordo com um relatório recente da Cofense, criminosos estão explorando a forma como os SEGs escaneiam anexos de arquivos ZIP para entregar o ladrão de informações Formbook por meio do DBatLoader (também conhecido como ModiLoader e NatsoLoader).

Especificamente, essa tática envolve passar a carga útil HTML como um arquivo MPEG para evitar a detecção, aproveitando o fato de que muitos extratores de arquivos e SEGs comuns analisam apenas as informações do cabeçalho do arquivo, mas ignoram o rodapé, que pode conter informações mais precisas sobre o formato do arquivo.

“Os agentes maliciosos usaram um anexo de arquivo .ZIP, que, quando escaneado pelo SEG, foi identificado como contendo um arquivo de vídeo .MPEG e, portanto, não foi bloqueado ou filtrado”, observou a empresa.

“Quando o anexo foi aberto com ferramentas comuns de extração de arquivos, como 7-Zip ou Power ISO, ele também parecia conter um arquivo de vídeo .MPEG, mas não foi reproduzido. No entanto, ao abrir o arquivo em um cliente Outlook ou por meio do gerenciador de arquivos do Windows Explorer, o arquivo .MPEG foi corretamente identificado como um arquivo .HTML.”