駭客正在對舊有的「錯誤釣魚」詐騙手法進行現代化改造,以試圖誘騙受害者下載危險的惡意軟件至其電腦。來自 Trellix 先進研究中心的網絡安全研究人員透露,他們最近觀察到一個針對 Microsoft OneDrive 用戶的新攻擊活動。
在該活動中,受害者會收到一封附有 .HTML 文件的電子郵件,文件名通常為「Reports.pdf」,意圖讓受害者誤以為這是一份重要的與工作相關的文件。當受害者打開該文件時,會出現一個類似 Microsoft OneDrive 的窗口,顯示一條錯誤信息,指出設備無法連接,並需要手動解決該錯誤。
社交工程手法
「無法連接到 ‘OneDrive’ 雲服務。為了解決錯誤,您需要手動更新 DNS 緩存。」該信息顯示在窗口中。窗口還有兩個按鈕:「詳細信息」和「如何修復」。點擊「詳細信息」按鈕會將受害者重定向至 Microsoft Learn 的正規頁面,該頁面討論 DNS 問題的故障排除。
然而,「如何修復」按鈕會觸發一個帶有 .js 腳本的 GD 功能,該腳本嵌入於 .HTML 文件中。它還會加載受害者必須遵循的其他指示。
「這次活動在很大程度上依賴於社交工程手法,旨在欺騙用戶執行 PowerShell 腳本,從而危害其系統。」研究人員解釋道。「這種結合技術術語和緊急錯誤信息的手法是一種經典的社交工程策略,旨在操縱用戶的情緒,並促使其在未經仔細考慮下匆忙行動。」
這種「匆忙行動」包括打開 Windows PowerShell 終端,然後粘貼並執行一條惡意命令。大多數受害者似乎位於美國、韓國、德國、印度、愛爾蘭、意大利、挪威和英國。
自從宏命令不再流行以來,網絡罪犯一直在尋找通過電子郵件傳播惡意軟件的有效替代方法。