Investigadores en ciberseguridad han identificado una nueva campaña de phishing dirigida a los usuarios de Microsoft OneDrive con el fin de ejecutar un script malicioso de PowerShell.
Según el investigador de seguridad de Trellix, Rafael Peña, este ataque se basa en tácticas de ingeniería social para engañar a los usuarios y ejecutar un script de PowerShell, comprometiendo así sus sistemas. La empresa de ciberseguridad está investigando esta campaña de phishing astuta, que se conoce como OneDrive Pastejacking.
La táctica consiste en enviar un correo electrónico que contiene un archivo HTML. Al abrirlo, se muestra una imagen que simula una página de OneDrive y solicita al usuario que actualice manualmente la caché de DNS para solucionar un supuesto error al conectar con el servicio de nube de OneDrive. El mensaje ofrece dos opciones, «Cómo solucionarlo» y «Detalles», redirigiendo al destinatario a una página legítima de Microsoft Learn sobre la solución de problemas de DNS. Sin embargo, al hacer clic en «Cómo solucionarlo», se le pide al usuario que realice una serie de pasos, incluyendo la ejecución de un comando codificado en Base64 en el terminal de PowerShell.
Esta cadena de comandos ejecuta varias acciones maliciosas, como la creación de una carpeta en la unidad C:, descarga de un archivo y ejecución de ciertos scripts. La campaña ha afectado a usuarios en varios países, entre ellos (pero no limitados a) EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.
Otros hallazgos de ReliaQuest, Proofpoint y McAfee Labs indican un aumento en los ataques de phishing utilizando esta técnica, también conocida como ClickFix. Asimismo, se ha descubierto una campaña de ingeniería social mediante correo electrónico que distribuye archivos de acceso directo de Windows falsos, así como el envío de Formularios de Microsoft Office para incitar a los usuarios a divulgar sus credenciales de inicio de sesión de Microsoft 365.
Este descubrimiento es un recordatorio de que los atacantes están constantemente buscando nuevas formas de introducir malware de forma sigilosa más allá de las pasarelas de correo electrónico seguro. Un informe reciente de Cofense revela que los delincuentes están abusando de las debilidades en cómo escanean los archivos adjuntos de los correos electrónicos las pasarelas de correo electronico seguro para entregar malware. Esto destaca la importancia de la conciencia y la capacitación en ciberseguridad para protegerse contra estas amenazas.
Vía The Hacker News
