Des chercheurs en cybers\u00e9curit\u00e9 mettent en garde contre une nouvelle campagne de phishing qui cible les utilisateurs de Microsoft OneDrive dans le but d’ex\u00e9cuter un script PowerShell malveillant.<\/p>\n
\u00ab Cette campagne s’appuie fortement sur des tactiques d’ing\u00e9nierie sociale pour tromper les utilisateurs et les amener \u00e0 ex\u00e9cuter un script PowerShell, compromettant ainsi leurs syst\u00e8mes \u00bb, a d\u00e9clar\u00e9 Rafael Pena, chercheur en s\u00e9curit\u00e9 chez Trellix. dit<\/a> dans une analyse du lundi.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 traque la campagne de phishing et de t\u00e9l\u00e9chargement \u00ab astucieuse \u00bb sous le nom de OneDrive Pastejacking.<\/p>\n L’attaque se d\u00e9roule via un e-mail contenant un fichier HTML qui, une fois ouvert, affiche une image simulant une page OneDrive et inclut le message d’erreur suivant : \u00ab \u00c9chec de la connexion au service cloud ‘OneDrive’. Pour corriger l’erreur, vous devez mettre \u00e0 jour le cache DNS manuellement. \u00bb<\/p>\n Le message contient \u00e9galement deux options, \u00e0 savoir \u00ab Comment r\u00e9soudre le probl\u00e8me \u00bb et \u00ab D\u00e9tails \u00bb, cette derni\u00e8re dirigeant le destinataire de l’e-mail vers une page Microsoft Learn l\u00e9gitime sur le d\u00e9pannage DNS.<\/p>\n Cependant, en cliquant sur \u00ab Comment r\u00e9soudre le probl\u00e8me \u00bb, l’utilisateur est invit\u00e9 \u00e0 suivre une s\u00e9rie d’\u00e9tapes, notamment en appuyant sur \u00ab Touche Windows + X \u00bb pour ouvrir le menu Lien rapide, en lan\u00e7ant le terminal PowerShell et en collant une commande cod\u00e9e en Base64 pour soi-disant r\u00e9soudre le probl\u00e8me.<\/p>\n “La commande […] “Il ex\u00e9cute d’abord ipconfig \/flushdns, puis cr\u00e9e un dossier sur le lecteur C: nomm\u00e9 ‘downloads'”, a expliqu\u00e9 Pena. “Ensuite, il t\u00e9l\u00e9charge un fichier d’archive \u00e0 cet emplacement, le renomme, extrait son contenu (‘script.a3x’ et ‘AutoIt3.exe’) et ex\u00e9cute script.a3x en utilisant AutoIt3.exe.”<\/p>\n La campagne a \u00e9t\u00e9 observ\u00e9e ciblant des utilisateurs aux \u00c9tats-Unis, en Cor\u00e9e du Sud, en Allemagne, en Inde, en Irlande, en Italie, en Norv\u00e8ge et au Royaume-Uni.<\/p>\n Cette r\u00e9v\u00e9lation s’appuie sur des conclusions similaires de ReliaQuest, Proofpoint et McAfee Labs, indiquant que les attaques de phishing utilisant cette technique – \u00e9galement suivie sous le nom de ClickFix – deviennent de plus en plus courantes.<\/p>\n Cette \u00e9volution intervient suite \u00e0 la d\u00e9couverte d’une nouvelle campagne d’ing\u00e9nierie sociale par courrier \u00e9lectronique distribution<\/a> de faux fichiers de raccourci Windows qui conduisent \u00e0 l’ex\u00e9cution de charges utiles malveillantes h\u00e9berg\u00e9es sur l’infrastructure du r\u00e9seau de diffusion de contenu (CDN) de Discord.<\/p>\n Des campagnes de phishing ont \u00e9galement \u00e9t\u00e9 observ\u00e9es de plus en plus fr\u00e9quemment, envoyant des courriers \u00e9lectroniques contenant des liens vers des formulaires Microsoft Office \u00e0 partir de comptes de messagerie l\u00e9gitimes pr\u00e9c\u00e9demment compromis pour inciter les cibles \u00e0 divulguer leurs identifiants de connexion Microsoft 365 sous pr\u00e9texte de restaurer leurs messages Outlook.<\/p>\n \u00ab Les attaquants cr\u00e9ent des formulaires d’apparence l\u00e9gitime sur Microsoft Office Forms, en int\u00e9grant des liens malveillants dans les formulaires \u00bb, Perception Point dit<\/a>\u00ab Ces formulaires sont ensuite envoy\u00e9s en masse \u00e0 des cibles par courrier \u00e9lectronique sous couvert de demandes l\u00e9gitimes telles que la modification de mots de passe ou l’acc\u00e8s \u00e0 des documents importants, imitant des plateformes et des marques de confiance comme Adobe ou la visionneuse de documents Microsoft SharePoint. \u00bb<\/p>\n De plus, d\u2019autres vagues d\u2019attaque ont utilis\u00e9<\/a> des leurres sur le th\u00e8me des factures pour inciter les victimes \u00e0 partager leurs informations d’identification sur des pages de phishing h\u00e9berg\u00e9es sur Cloudflare R2 qui sont ensuite exfiltr\u00e9es vers l’acteur de la menace via un bot Telegram.<\/p>\n Il n\u2019est pas surprenant que les adversaires soient constamment \u00e0 la recherche de diff\u00e9rents moyens pour introduire furtivement des logiciels malveillants au-del\u00e0 des passerelles de messagerie s\u00e9curis\u00e9es (SEG) afin d\u2019augmenter les chances de succ\u00e8s de leurs attaques.<\/p>\n Selon un rapport r\u00e9cent de Cofense, les mauvais acteurs abusent de la mani\u00e8re dont les SEG analysent les pi\u00e8ces jointes des archives ZIP pour transmettre le voleur d’informations Formbook au moyen de DBatLoader (alias ModiLoader et NatsoLoader).<\/p>\n Plus pr\u00e9cis\u00e9ment, cela implique de faire passer la charge utile HTML pour un fichier MPEG pour \u00e9chapper \u00e0 la d\u00e9tection en tirant parti du fait que de nombreux extracteurs d’archives et SEG courants analysent les informations d’en-t\u00eate de fichier mais ignorent le pied de page du fichier qui peut contenir des informations plus pr\u00e9cises sur le format de fichier.<\/p>\n \u00ab Les acteurs de la menace ont utilis\u00e9 une pi\u00e8ce jointe d’archive .ZIP et lorsque le SEG a analys\u00e9 le contenu du fichier, l’archive a \u00e9t\u00e9 d\u00e9tect\u00e9e comme contenant un fichier vid\u00e9o .MPEG et n’a pas \u00e9t\u00e9 bloqu\u00e9e ou filtr\u00e9e \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. not\u00e9<\/a>.<\/p>\n \u00ab Lorsque cette pi\u00e8ce jointe a \u00e9t\u00e9 ouverte avec des outils d’extraction d’archives courants\/populaires tels que 7-Zip ou Power ISO, elle semblait \u00e9galement contenir un fichier vid\u00e9o .MPEG, mais il ne pouvait pas \u00eatre lu. Cependant, lorsque l’archive a \u00e9t\u00e9 ouverte dans un client Outlook ou via le gestionnaire d’archives de l’Explorateur Windows, le fichier .MPEG est (correctement) d\u00e9tect\u00e9 comme \u00e9tant un fichier .HTML [file]” . “<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Une-arnaque-de-phishing-sur-OneDrive-incite-les-utilisateurs-a.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n