30 de julio de 2024Ravie LakshmananMalware / Seguridad del correo electrónico Los investigadores de ciberseguridad advierten sobre una nueva campaña de phishing que se dirige a los usuarios de Microsoft OneDrive con el objetivo de ejecutar un script malicioso de PowerShell. «Esta campaña se basa en gran medida en tácticas de ingeniería social para engañar a los usuarios para que ejecuten un script de PowerShell, comprometiendo así sus sistemas», dijo el investigador de seguridad de Trellix, Rafael Pena, en un análisis del lunes. La empresa de ciberseguridad está rastreando la «astuta» campaña de phishing y descarga bajo el nombre de OneDrive Pastejacking. El ataque se desarrolla a través de un correo electrónico que contiene un archivo HTML que, cuando se abre, muestra una imagen que simula una página de OneDrive y muestra un mensaje de error que dice: «No se pudo conectar al servicio en la nube ‘OneDrive’. Para corregir el error, debe actualizar la caché de DNS manualmente». El mensaje también viene con dos opciones, a saber, «Cómo solucionarlo» y «Detalles», y esta última dirige al destinatario del correo electrónico a una página legítima de Microsoft Learn sobre cómo solucionar problemas de DNS. Sin embargo, al hacer clic en «Cómo solucionarlo», se le solicita al usuario que siga una serie de pasos, que incluyen presionar «Tecla de Windows + X» para abrir el menú de Enlace rápido, iniciar la terminal de PowerShell y pegar un comando codificado en Base64 para supuestamente solucionar el problema. «El comando […] «Primero ejecuta ipconfig /flushdns, luego crea una carpeta en la unidad C: llamada ‘downloads'», explicó Pena. «Posteriormente, descarga un archivo en esta ubicación, le cambia el nombre, extrae su contenido (‘script.a3x’ y ‘AutoIt3.exe’) y ejecuta script.a3x usando AutoIt3.exe». Se ha observado que la campaña apunta a usuarios en los EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido. La divulgación se basa en hallazgos similares de ReliaQuest, Proofpoint y McAfee Labs, que indican que los ataques de phishing que emplean esta técnica, también rastreada como ClickFix, son cada vez más frecuentes. El desarrollo se produce en medio del descubrimiento de una nueva campaña de ingeniería social basada en correo electrónico que distribuye archivos de acceso directo de Windows falsos que conducen a la ejecución de cargas útiles maliciosas alojadas en la infraestructura de la red de entrega de contenido (CDN) de Discord. También se han observado cada vez más campañas de phishing, como el envío de formularios de Microsoft Office desde cuentas de correo electrónico legítimas previamente comprometidasLos atacantes utilizan este tipo de métodos para incitar a las víctimas a que revelen sus credenciales de inicio de sesión de Microsoft 365 haciendo clic en un enlace aparentemente inofensivo. «Los atacantes crean formularios de apariencia legítima en Microsoft Office Forms, incorporando enlaces maliciosos en ellos», afirma Perception Point. «Luego, estos formularios se envían a los objetivos en masa por correo electrónico bajo la apariencia de solicitudes legítimas, como cambiar contraseñas o acceder a documentos importantes, imitando plataformas y marcas confiables como Adobe o el visor de documentos de Microsoft SharePoint». Además, otras oleadas de ataques han utilizado señuelos con temática de facturas para engañar a las víctimas para que compartan sus credenciales en páginas de phishing alojadas en Cloudflare R2 que luego se filtran al actor de la amenaza a través de un bot de Telegram. No es de extrañar que los adversarios estén constantemente buscando diferentes formas de contrabandear malware de manera sigilosa a través de Secure Email Gateways (SEG) para aumentar la probabilidad de éxito de sus ataques. Según un informe reciente de Cofense, los actores maliciosos están abusando de la forma en que los SEG escanean los archivos adjuntos ZIP para entregar el ladrón de información Formbook por medio de DBatLoader (también conocido como ModiLoader y NatsoLoader). En concreto, esto implica hacer pasar la carga útil HTML como un archivo MPEG para evadir la detección aprovechando el hecho de que muchos extractores de archivos comunes y SEG analizan la información del encabezado del archivo pero ignoran el pie de página del archivo que puede contener información más precisa sobre el formato del archivo. «Los actores de la amenaza utilizaron un archivo adjunto .ZIP y cuando el SEG escaneó el contenido del archivo, se detectó que el archivo contenía un archivo de vídeo .MPEG y no se bloqueó ni filtró», señaló la empresa. «Cuando se abrió este archivo adjunto con herramientas de extracción de archivos comunes y populares, como 7-Zip o Power ISO, también parecía contener un archivo de video .MPEG, pero no se pudo reproducir. Sin embargo, cuando se abrió el archivo en un cliente Outlook o a través del administrador de archivos de Windows Explorer, el archivo .MPEG se detectó (correctamente) como un archivo .HTML [file]¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.