狡猾的网络钓鱼活动针对 Microsoft OneDrive 用户

过去几周，Trellix 高级研究中心观察到了一起针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。威胁行为者依赖社会工程学手段诱骗用户执行 PowerShell 脚本，从而导致其系统遭到入侵。

攻击链的起点是诱骗收件人点击一个按钮，该按钮声称会解释如何解决 DNS 问题，并暗示解决此问题后将能访问所需的文件。

“攻击过程如下：受害者收到一封包含 .html 文件的电子邮件。当打开此 .html 文件时，会显示一张图片，旨在营造一种紧迫感，让用户急于访问文档，从而增加用户按照提供的指示操作的可能性。”Trellix 发布的报告中写道。“图片模拟了一个 Microsoft OneDrive 页面，显示一个名为‘Reports.pdf’的文件和一个标题为‘Error 0x8004de86’的窗口，窗口中包含以下错误消息：‘无法连接到‘OneDrive’云服务。要修复此错误，您需要手动更新 DNS 缓存。’ 该窗口有两个按钮：‘详细信息’和‘如何解决’。值得注意的是，Error 0x8004de80 是在登录 OneDrive 时可能出现的合法问题。”

点击“如何解决”按钮后，收件人会被指示按照一系列步骤操作，包括具体说明如何打开快速链接菜单（Windows 键 + X），访问 Windows PowerShell 终端，粘贴并执行一条命令，以解决所谓的问题。

“如上所述，该命令首先运行 ipconfig /flushdns，然后在 C: 驱动器上创建一个名为‘downloads’的文件夹。接着，它会在该位置下载一个归档文件，对其重命名，提取其内容（‘script.a3x’和‘AutoIt3.exe’），并使用 AutoIt3.exe 执行 script.a3x。最后，显示以下消息：‘操作成功完成，请重新加载页面。’”报告继续道。

Trellix 报告称，此次活动针对的大多数用户位于美国（40%）、韩国（17%）、德国（14%）和印度（10%）。

“此次攻击的全球分布凸显了国际合作和情报共享在有效打击此类威胁方面的重要性。”报告总结道，并提供了妥协指标（IoCs）。

原文始发于微信公众号（黑猫安全）：狡猾的网络钓鱼活动针对 Microsoft OneDrive 用户