Los investigadores de ciberseguridad advierten sobre una nueva campa\u00f1a de phishing que se dirige a los usuarios de Microsoft OneDrive con el objetivo de ejecutar un script de PowerShell malicioso.<\/p>\n
“Esta campa\u00f1a se basa en gran medida en t\u00e1cticas de ingenier\u00eda social para enga\u00f1ar a los usuarios para que ejecuten un script de PowerShell, comprometiendo as\u00ed sus sistemas”, dijo el investigador de seguridad de Trellix, Rafael Pe\u00f1a. dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n La empresa de ciberseguridad est\u00e1 rastreando la campa\u00f1a de phishing y descarga “astuta” bajo el nombre OneDrive Pastejacking.<\/p>\n El ataque se desarrolla a trav\u00e9s de un correo electr\u00f3nico que contiene un archivo HTML que, al abrirse, muestra una imagen que simula una p\u00e1gina de OneDrive y muestra un mensaje de error que dice: “Error al conectarse al servicio en la nube ‘OneDrive’. Para corregir el error, debe actualizar la cach\u00e9 DNS manualmente”.<\/p>\n El mensaje tambi\u00e9n viene con dos opciones, a saber, “C\u00f3mo solucionarlo” y “Detalles”, esta \u00faltima dirige al destinatario del correo electr\u00f3nico a una p\u00e1gina leg\u00edtima de Microsoft Learn sobre soluci\u00f3n de problemas de DNS.<\/p>\n Sin embargo, al hacer clic en “C\u00f3mo solucionarlo”, el usuario debe seguir una serie de pasos, que incluyen presionar “Tecla Windows + X” para abrir el men\u00fa Enlace r\u00e1pido, iniciar la terminal de PowerShell y pegar un comando codificado en Base64 para supuestamente solucionar el problema.<\/p>\n “El comando […] “Primero ejecuta ipconfig \/flushdns, luego crea una carpeta en la unidad C: llamada ‘downloads'”, explic\u00f3 Pena. “A continuaci\u00f3n, descarga un archivo en esta ubicaci\u00f3n, le cambia el nombre, extrae su contenido (‘script.a3x’ y ‘AutoIt3.exe’) y ejecuta script.a3x utilizando AutoIt3.exe”.<\/p>\n Se ha observado que la campa\u00f1a est\u00e1 dirigida a usuarios de EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.<\/p>\n La divulgaci\u00f3n se basa en hallazgos similares de ReliaQuest, Proofpoint y McAfee Labs, que indican que los ataques de phishing que emplean esta t\u00e9cnica, tambi\u00e9n conocida como ClickFix, son cada vez m\u00e1s frecuentes.<\/p>\n El desarrollo se produce en medio del descubrimiento de una nueva campa\u00f1a de ingenier\u00eda social basada en correo electr\u00f3nico. distribuido<\/a> archivos de acceso directo falsos de Windows que conducen a la ejecuci\u00f3n de cargas maliciosas alojadas en la infraestructura de la red de entrega de contenido (CDN) de Discord.<\/p>\n Tambi\u00e9n se han observado cada vez m\u00e1s campa\u00f1as de phishing, como el env\u00edo de formularios de Microsoft Office desde cuentas de correo electr\u00f3nico leg\u00edtimas previamente comprometidas para incitar a los objetivos a que divulguen sus credenciales de inicio de sesi\u00f3n de Microsoft 365 haciendo clic en un enlace aparentemente inofensivo.<\/p>\n “Los atacantes crean formularios de apariencia leg\u00edtima en Microsoft Office Forms, incorporando enlaces maliciosos en los formularios”, Perception Point dicho<\/a>“Estos formularios se env\u00edan luego a los destinatarios en masa por correo electr\u00f3nico bajo la apariencia de solicitudes leg\u00edtimas, como cambiar contrase\u00f1as o acceder a documentos importantes, imitando plataformas y marcas confiables como Adobe o el visor de documentos de Microsoft SharePoint”.<\/p>\n Es m\u00e1s, otras oleadas de ataque han… utilizado<\/a> Se\u00f1uelos con tem\u00e1tica de facturas para enga\u00f1ar a las v\u00edctimas para que compartan sus credenciales en p\u00e1ginas de phishing alojadas en Cloudflare R2 que luego se filtran al actor de amenazas a trav\u00e9s de un bot de Telegram.<\/p>\n No sorprende que los adversarios est\u00e9n constantemente buscando formas diferentes de introducir sigilosamente malware a trav\u00e9s de los Secure Email Gateways (SEG) para aumentar la probabilidad de \u00e9xito de sus ataques.<\/p>\n Seg\u00fan un informe reciente de Cofense, los actores maliciosos est\u00e1n abusando de la forma en que los SEG escanean los archivos adjuntos de los archivos ZIP para entregar el ladr\u00f3n de informaci\u00f3n Formbook por medio de DBatLoader (tambi\u00e9n conocido como ModiLoader y NatsoLoader).<\/p>\n En concreto, esto implica hacer pasar la carga \u00fatil HTML como un archivo MPEG para evadir la detecci\u00f3n aprovechando el hecho de que muchos extractores de archivos y SEG comunes analizan la informaci\u00f3n del encabezado del archivo pero ignoran el pie de p\u00e1gina, que puede contener informaci\u00f3n m\u00e1s precisa sobre el formato del archivo.<\/p>\n “Los actores de la amenaza utilizaron un archivo adjunto .ZIP y cuando el SEG escane\u00f3 el contenido del archivo, se detect\u00f3 que el archivo conten\u00eda un archivo de video .MPEG y no fue bloqueado ni filtrado”, dijo la compa\u00f1\u00eda. anotado<\/a>.<\/p>\n “Cuando se abri\u00f3 este archivo adjunto con herramientas de extracci\u00f3n de archivos comunes y populares, como 7-Zip o Power ISO, tambi\u00e9n parec\u00eda contener un archivo de video .MPEG, pero no se pudo reproducir. Sin embargo, cuando se abri\u00f3 el archivo en un cliente Outlook o a trav\u00e9s del administrador de archivos de Windows Explorer, el archivo .MPEG se detect\u00f3 (correctamente) como un archivo .HTML [file].”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/La-estafa-de-phishing-de-OneDrive-engana-a-los-usuarios.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n