Investigadores em cibersegurança estão a alertar sobre uma nova campanha de phishing que visa utilizadores do Microsoft OneDrive com o objetivo de executar um script PowerShell malicioso.

“Esta campanha depende fortemente de táticas de engenharia social para enganar os utilizadores e fazer com que executem um script PowerShell, comprometendo assim os seus sistemas,” afirmou Rafael Pena, investigador de segurança da Trellix, numa análise de segunda-feira.

A empresa de cibersegurança está a monitorizar a campanha de phishing e downloader “astuta” com o nome OneDrive Pastejacking.

O ataque desenrola-se através de um e-mail contendo um ficheiro HTML que, ao ser aberto, exibe uma imagem que simula uma página do OneDrive e apresenta uma mensagem de erro que diz: “Falha na conexão com o serviço de nuvem ‘OneDrive’. Para corrigir o erro, é necessário atualizar manualmente o cache DNS.”

A mensagem também apresenta duas opções, a saber “Como corrigir” e “Detalhes”, sendo que a segunda direciona o destinatário do e-mail para uma página legítima da Microsoft Learn sobre Resolução de Problemas de DNS.

No entanto, ao clicar em “Como corrigir”, o utilizador é solicitado a seguir uma série de passos, que inclui pressionar “Tecla do Windows + X” para abrir o menu de Atalhos Rápidos, iniciar o terminal PowerShell e colar um comando codificado em Base64 para supostamente corrigir o problema.

“O comando […] executa primeiro ipconfig /flushdns, depois cria uma pasta na unidade C: chamada ‘downloads’”, explicou Pena. “Em seguida, faz o download de um ficheiro de arquivo para esta localização, renomeia-o, extrai o seu conteúdo (‘script.a3x’ e ‘AutoIt3.exe’) e executa script.a3x usando AutoIt3.exe.”

A campanha tem sido observada a atingir utilizadores nos EUA, Coreia do Sul, Alemanha, Índia, Irlanda, Itália, Noruega e Reino Unido.

O desenvolvimento surge no contexto da descoberta de uma nova campanha de engenharia social baseada em e-mail que distribui ficheiros de atalhos do Windows falsos, que levam à execução de payloads maliciosos hospedados na infraestrutura de Rede de Distribuição de Conteúdo (CDN) do Discord.

Os ataques de phishing também têm sido cada vez mais observados, como o envio de Formulários do Microsoft Office a partir de contas de e-mail legítimas anteriormente comprometidas para atrair alvos a divulgarem as suas credenciais de login do Microsoft 365 ao clicarem num link aparentemente inócuo.

“Os atacantes criam formulários com aparência legítima no Microsoft Office Forms, incorporando links maliciosos dentro dos formulários,” disse a Perception Point. “Estes formulários são então enviados em massa aos alvos via e-mail sob o disfarce de solicitações legítimas, como a alteração de palavras-passe ou o acesso a documentos importantes, imitando plataformas e marcas confiáveis como Adobe ou Microsoft SharePoint document viewer.”

Além disso, outras ondas de ataque têm utilizado iscas temáticas de faturas para enganar as vítimas e fazê-las partilhar as suas credenciais em páginas de phishing hospedadas no Cloudflare R2, que são posteriormente exfiltradas para o ator de ameaça através de um bot do Telegram.

Não é surpreendente que os adversários estejam constantemente à procura de diferentes maneiras de introduzir malware de forma furtiva através dos Secure Email Gateways (SEGs) para aumentar a probabilidade de sucesso dos seus ataques.

De acordo com um relatório recente da Cofense, os maus atores estão a abusar de como os SEGs escaneiam anexos de arquivos ZIP para entregar o stealer de informações Formbook por meio do DBatLoader (também conhecido como ModiLoader e NatsoLoader).

Especificamente, isto envolve apresentar o payload HTML como um ficheiro MPEG para evadir a deteção, aproveitando o facto de que muitos extratores de arquivos e SEGs comuns analisam as informações do cabeçalho do ficheiro, mas ignoram o rodapé do ficheiro, que pode conter informações mais precisas sobre o formato do ficheiro.

“Os atores de ameaça utilizaram um anexo de arquivo .ZIP e, quando o SEG escaneou o conteúdo do arquivo, o arquivo foi detectado como contendo um ficheiro de vídeo .MPEG e não foi bloqueado ou filtrado,” observou a empresa.

“Quando este anexo foi aberto com ferramentas de extração de arquivos comuns/populares como 7-Zip ou Power ISO, também parecia conter um ficheiro de vídeo .MPEG, mas não reproduzia. No entanto, quando o arquivo foi aberto num cliente Outlook ou através do gestor de arquivos do Windows, o ficheiro .MPEG foi (corretamente) detectado como um ficheiro .HTML.”