Siber güvenlik araştırmacıları, kötü amaçlı bir PowerShell betiğini yürütmeyi amaçlayan Microsoft OneDrive kullanıcılarını hedef alan yeni bir kimlik avı kampanyası konusunda uyarıyor.
Trellix güvenlik araştırmacısı Rafael Pena Pazartesi günü yaptığı analizde, “Bu kampanya, kullanıcıları bir PowerShell betiğini çalıştırmaya kandırmak ve böylece sistemlerini tehlikeye atmak için sosyal mühendislik taktiklerine yoğun bir şekilde güveniyor” dedi.
Siber güvenlik şirketi, OneDrive Pastejacking adı altında yürütülen “kurnazca” kimlik avı ve indirme kampanyasını izliyor.
Saldırı, açıldığında OneDrive sayfasını simüle eden bir görüntü gösteren ve şu hata mesajını gösteren bir HTML dosyası içeren bir e-posta aracılığıyla gerçekleşir: “‘OneDrive’ bulut hizmetine bağlanılamadı. Hatayı düzeltmek için DNS önbelleğini manuel olarak güncellemeniz gerekir.”
Mesajda ayrıca “Nasıl düzeltilir” ve “Ayrıntılar” olmak üzere iki seçenek de yer alıyor. Ayrıntılar, e-posta alıcısını Microsoft Learn’deki DNS Sorun Giderme sayfasına yönlendiriyor.
Ancak, “Nasıl düzeltilir” seçeneğine tıklandığında kullanıcıdan bir dizi adımı izlemesi isteniyor. Bu adımlar arasında Hızlı Bağlantı menüsünü açmak için “Windows Tuşu + X” tuşlarına basmak, PowerShell terminalini başlatmak ve sorunu düzelttiği varsayılan Base64 kodlu bir komutu yapıştırmak yer alıyor.
“Komuta […] Pena, “önce ipconfig /flushdns çalıştırır, sonra C: sürücüsünde ‘downloads’ adlı bir klasör oluşturur” diye açıkladı. “Ardından, bu konuma bir arşiv dosyası indirir, adını değiştirir, içeriğini çıkarır (‘script.a3x’ ve ‘AutoIt3.exe’) ve AutoIt3.exe’yi kullanarak script.a3x’i çalıştırır.”
Kampanyanın ABD, Güney Kore, Almanya, Hindistan, İrlanda, İtalya, Norveç ve İngiltere’deki kullanıcıları hedef aldığı gözlemlendi
Açıklama, ReliaQuest, Proofpoint ve McAfee Labs’ın benzer bulgularına dayanarak, bu tekniği kullanan (aynı zamanda ClickFix olarak da bilinir) kimlik avı saldırılarının giderek yaygınlaştığını gösteriyor.
Gelişme, Discord’un İçerik Dağıtım Ağı (CDN) altyapısında barındırılan kötü amaçlı yüklerin yürütülmesine yol açan sahte Windows kısayol dosyaları dağıtan yeni bir e-posta tabanlı sosyal mühendislik kampanyasının keşfedilmesinin ardından geldi.
Daha önce ele geçirilmiş meşru e-posta hesaplarından Microsoft Office Formları göndererek hedefleri, görünüşte zararsız bir bağlantıya tıklayarak Microsoft 365 oturum açma kimlik bilgilerini ifşa etmeye ikna etmek gibi kimlik avı kampanyaları da giderek daha fazla gözlemleniyor.
Perception Point, “Saldırganlar, Microsoft Office Forms’da meşru görünümlü formlar oluşturuyor ve formların içine kötü amaçlı bağlantılar yerleştiriyor,” dedi. “Bu formlar daha sonra, parolaları değiştirme veya önemli belgelere erişme gibi meşru istekler kisvesi altında e-posta yoluyla topluca hedeflere gönderiliyor ve Adobe veya Microsoft SharePoint belge görüntüleyicisi gibi güvenilir platformları ve markaları taklit ediyor.”
Dahası, diğer saldırı dalgaları, kurbanları kimlik bilgilerini Cloudflare R2’de barındırılan kimlik avı sayfalarında paylaşmaları için kandırmak amacıyla fatura temalı yemler kullandı ve bu bilgiler daha sonra bir Telegram botu aracılığıyla tehdit aktörüne sızdırıldı.
Saldırganların, saldırılarının başarı olasılığını artırmak amacıyla kötü amaçlı yazılımları Güvenli E-posta Ağ Geçitlerinden (SEG) gizlice geçirmenin farklı yollarını sürekli olarak aramaları şaşırtıcı değildir.
Cofense’den gelen son rapora göre, kötü niyetli kişiler, Formbook bilgi hırsızını DBatLoader (diğer adıyla ModiLoader ve NatsoLoader) aracılığıyla iletmek için SEG’lerin ZIP arşiv eklerini tarama şeklini kötüye kullanıyor.
Bu, özellikle, birçok yaygın arşiv çıkarıcısının ve SEG’nin dosya başlık bilgilerini ayrıştırdığı ancak dosya biçimi hakkında daha doğru bilgiler içerebilecek dosya alt bilgisini görmezden geldiği gerçeğinden yararlanarak tespit edilmekten kaçınmak için HTML yükünü bir MPEG dosyası olarak göstermeyi içerir.
Şirket, “Tehdit aktörleri bir .ZIP arşiv eki kullandılar ve SEG dosya içeriğini taradığında arşivin bir .MPEG video dosyası içerdiği tespit edildi ve engellenmedi veya filtrelenmedi” dedi.
“Bu ek, 7-Zip veya Power ISO gibi yaygın/popüler arşiv çıkarma araçlarıyla açıldığında, bir .MPEG video dosyası da içeriyor gibi görünüyordu, ancak oynatılmıyordu. Ancak, arşiv bir Outlook istemcisinde veya Windows Explorer arşiv yöneticisi aracılığıyla açıldığında, .MPEG dosyası (doğru bir şekilde) .HTML olarak algılanıyor [file].”