OneDrive-phishing-scam misleidt gebruikers tot het uitvoeren van een kwaadaardig PowerShell-script

Cybersecurityonderzoekers waarschuwen voor een nieuwe phishingcampagne die gericht is op Microsoft OneDrive-gebruikers met als doel een schadelijk PowerShell-script uit te voeren.

“Deze campagne maakt zwaar gebruik van social engineering-tactieken om gebruikers ertoe te verleiden een PowerShell-script uit te voeren en zo hun systemen in gevaar te brengen”, aldus Trellix-beveiligingsonderzoeker Rafael Pena in een analyse van maandag.

Het cybersecuritybedrijf volgt de ‘sluwe’ phishing- en downloadercampagne onder de naam OneDrive Pastejacking.

De aanval verloopt via een e-mail met een HTML-bestand dat, wanneer geopend, een afbeelding toont die een OneDrive-pagina simuleert en een foutmelding weergeeft met de tekst: “Kan geen verbinding maken met de ‘OneDrive’-cloudservice. Om de fout te verhelpen, moet u de DNS-cache handmatig bijwerken.”

Het bericht bevat ook twee opties, namelijk ‘Hoe te verhelpen’ en ‘Details’. Met de laatste optie wordt de e-mailontvanger doorverwezen naar een legitieme Microsoft Learn-pagina over het oplossen van DNS-problemen.

Als u echter op ‘Oplossen’ klikt, wordt de gebruiker gevraagd een aantal stappen te volgen. U moet onder andere op de Windows-toets + X drukken om het menu Snelkoppeling te openen, de PowerShell-terminal starten en een Base64-gecodeerde opdracht plakken om het probleem te verhelpen.

“De opdracht (…) voert eerst ipconfig /flushdns uit en maakt vervolgens een map aan op schijf C: met de naam ‘downloads'”, legt Pena uit. “Daarna downloadt het een archiefbestand naar deze locatie, hernoemt het, extraheert de inhoud (‘script.a3x’ en ‘AutoIt3.exe’) en voert script.a3x uit met behulp van AutoIt3.exe.”

De campagne is gericht op gebruikers in de VS, Zuid-Korea, Duitsland, India, Ierland, Italië, Noorwegen en het VK.

De openbaarmaking bouwt voort op soortgelijke bevindingen van ReliaQuest, Proofpoint en McAfee Labs, wat aangeeft dat phishingaanvallen waarbij gebruik wordt gemaakt van deze techniek (ook wel ClickFix genoemd) steeds vaker voorkomen.

De ontwikkeling vindt plaats terwijl er een nieuwe social engineering-campagne via e-mail wordt ontdekt. ​​Hierbij worden valse Windows-snelkoppelingsbestanden verspreid die leiden tot de uitvoering van schadelijke payloads die worden gehost op de Content Delivery Network (CDN)-infrastructuur van Discord.

PowerShell-script

Ook phishingcampagnes worden steeds vaker waargenomen, bijvoorbeeld het verzenden van Microsoft Office-formulieren vanaf eerder gehackte, legitieme e-mailaccounts om slachtoffers ertoe aan te zetten hun Microsoft 365-inloggegevens te verstrekken door op een ogenschijnlijk onschuldige link te klikken.

“Aanvallers maken legitiem ogende formulieren op Microsoft Office Forms, en voegen kwaadaardige links toe aan de formulieren,” aldus Perception Point. “Deze formulieren worden vervolgens massaal via e-mail naar doelwitten gestuurd onder het mom van legitieme verzoeken zoals het wijzigen van wachtwoorden of het openen van belangrijke documenten, waarbij vertrouwde platforms en merken zoals Adobe of Microsoft SharePoint document viewer worden nagebootst.”

Bovendien werd bij andere aanvalsgolven gebruikgemaakt van lokmiddelen met factuurthema’s om slachtoffers ertoe te verleiden hun inloggegevens te delen op phishingpagina’s die op Cloudflare R2 worden gehost. Deze inloggegevens worden vervolgens via een Telegram-bot naar de aanvaller gestuurd.

Het is geen verrassing dat tegenstanders voortdurend op zoek zijn naar verschillende manieren om malware stiekem langs Secure Email Gateways (SEG’s) te smokkelen, om zo de kans op succes van hun aanvallen te vergroten.

Volgens een recent rapport van Cofense misbruiken kwaadwillenden de manier waarop SEG’s ZIP-archiefbijlagen scannen om de Formbook-informatiestealer te verspreiden via DBatLoader (ook bekend als ModiLoader en NatsoLoader).

Concreet houdt dit in dat de HTML-payload wordt doorgegeven als een MPEG-bestand om detectie te omzeilen. Hiervoor wordt gebruikgemaakt van het feit dat veel gangbare archief-extractors en SEG’s de headerinformatie van het bestand wel verwerken, maar de footer van het bestand negeren. Deze footer kan nauwkeurigere informatie over de bestandsindeling bevatten.

“De kwaadwillende actoren maakten gebruik van een .ZIP-archiefbijlage. Toen de SEG de inhoud van het bestand scande, werd vastgesteld dat het archief een .MPEG-videobestand bevatte en niet werd geblokkeerd of gefilterd”, aldus het bedrijf.

“Toen deze bijlage werd geopend met gangbare/populaire archiefextractietools zoals 7-Zip of Power ISO, leek het ook een .MPEG-videobestand te bevatten, maar het werd niet afgespeeld. Toen het archief echter werd geopend in een Outlook-client of via de archiefbeheerder van Windows Explorer, werd het .MPEG-bestand (correct) gedetecteerd als een .HTML (bestand).”

Thijs Van der Does