Microsoft OneDrive kullanıcılarını hedef alan yeni bir kimlik avı kampanyası gözlemlendi. Bu kampanya, kurbanları kötü amaçlı PowerShell betiklerini yürütmeye kandırmak için sosyal mühendislik taktikleri kullanıyor. Kampanya, kullanıcıların dosyalara erişme aciliyetini ve meşru görünen yazılım arayüzlerine olan güvenlerini istismar ediyor.
OneDrive Kimlik Avı Kampanyası Saldırı Dizisi
Trellix’ten araştırmacılar, kampanyanın, açıldığında bir belgeye erişim konusunda aciliyet duygusu yaratmak için tasarlanmış bir görüntü gösteren bir .html dosyası içeren bir e-postayla başladığını gözlemledi. Görüntü, “Reports.pdf” adlı bir dosyayı ve “OneDrive” bulut hizmetinin güncellenmesi gerektiğini iddia eden bir hata mesajıyla “Error 0x8004de86” başlıklı bir pencereyi görüntüleyen bir Microsoft OneDrive sayfasını simüle ediyor.
“Ayrıntılar” ve “Nasıl düzeltilir” olmak üzere iki düğme sunulur, ikincisi bir fonksiyon çağrısını tetikler ve ikincil talimatları yükler. Teknik jargon ve acil hata mesajlarının bu kombinasyonu, kullanıcının duygularını manipüle etmek ve aceleci eylemde bulunmaya teşvik etmek için tasarlanmış klasik bir sosyal mühendislik taktiğidir.
Saldırı dizisi şu şekilde gelişir: Kullanıcıya, bir DNS sorununu nasıl düzelteceğini açıkladığı iddia edilen bir düğmeye tıklaması talimatı verilir ve bu işlem sırasında sistemleri tehlikeye atılır. Daha sonra kullanıcıdan Hızlı Bağlantı menüsünü açması, Windows PowerShell terminaline erişmesi ve OneDrive bulut hizmeti güncellemesini uygulamak için sözde bir önlem olarak kötü amaçlı komutları yürütülmek üzere yapıştırması istenir. Komut bir arşiv dosyasını indirir, içeriğini çıkarır ve AutoIt3.exe kullanarak bir betiği yürütür.
Sonuç olarak saldırı başarılı mesajı göstererek operasyonun tamamlandığını iddia ediyor.
Küresel Erişim ve Kurumsal Etkiler
Kampanya dünya çapında kullanıcıları etkiledi ve Amerika Birleşik Devletleri, Hindistan ve Birleşik Krallık’ta önemli bir etkinlik tespit edildi. İşletmeler için bu saldırı ciddi bir tehdit oluşturuyor. Tek bir tehlikeye atılmış çalışan, yaygın ağ sızmalarına, veri ihlallerine ve mali kayıplara yol açabilir.
Bu tür saldırılarla mücadele etmek için kuruluşların şunları yapması gerekir:
- Kimlik avı girişimlerini tespit etmeye odaklanan sağlam çalışan eğitim programları uygulayın.
- E-posta filtreleme ve ek tarama gibi sıkı güvenlik protokollerini uygulayın.
- Olası güvenlik açıklarını kapatmak için sistemlerinizi düzenli olarak güncelleyin ve yamalayın.
- Kuruluş genelinde siber güvenlik farkındalığı kültürünü teşvik edin.
Kullanıcıları kötü amaçlı PowerShell betiklerini çalıştırmaya kandırmaya çalışan bu tür kampanyalar (çoğunlukla uzaktan erişim Truva atları (RAT’ler) ve DarkGate, Lumma ve Vidar gibi bilgi hırsızları gibi kötü amaçlı yazılımlar içerir) güvenlik araştırmacıları tarafından yaygın olarak ‘ClickFix’ saldırıları veya ‘ClearFake’ olarak adlandırılır.