Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Phishing en OneDrive Engaña a Usuarios para Ejecutar Script PowerShell

Escrito por Zoilijee Quero | Jul 30, 2024 11:35:20 PM

Las estafas de phishing continúan evolucionando y convirtiéndose en una amenaza cada vez más sofisticada para los usuarios de servicios en línea. Recientemente, se ha descubierto una nueva táctica que utiliza OneDrive como cebo, engañando a los usuarios para que ejecuten un script malicioso de PowerShell. Esta técnica no solo pone en riesgo la seguridad de tus datos, sino que también puede comprometer toda tu red.

Expertos en ciberseguridad han identificado una nueva campaña de phishing dirigida a usuarios de Microsoft OneDrive, diseñada para hacer que ejecuten un script de PowerShell malicioso. Esta campaña utiliza técnicas de ingeniería social para engañar a las víctimas, llevándolas a comprometer la seguridad de sus sistemas.

Denominada "OneDrive Pastejacking", la campaña inicia con un correo electrónico que contiene un archivo HTML adjunto. Al abrirlo, el archivo muestra una imagen que imita una página oficial de OneDrive y presenta un mensaje de error que afirma: "Error al conectarse al servicio en la nube 'OneDrive'. Para corregir el error, debe actualizar la caché DNS manualmente".

El mensaje ofrece dos opciones: "Cómo solucionarlo" y "Detalles". La opción de "Detalles" redirige a los usuarios a una página legítima de Microsoft Learn, donde se explican problemas comunes de DNS, lo que añade una capa de legitimidad al engaño. Sin embargo, al seleccionar "Cómo solucionarlo", los usuarios son guiados a realizar una serie de pasos que incluyen presionar "Tecla Windows + X" para abrir el menú Enlace rápido, iniciar la terminal de PowerShell, y pegar un comando codificado en Base64, que supuestamente resolverá el problema.

En realidad, este comando ejecuta un script malicioso que puede comprometer la seguridad del sistema del usuario, permitiendo a los atacantes acceder a información sensible o controlar remotamente el equipo infectado. Este tipo de ataques, que explotan la confianza del usuario en servicios legítimos y su desconocimiento técnico, representan una amenaza significativa para la seguridad cibernética.

 

Te podrá interesar leer: Ejecución de Scripts Python y PHP en WhatsApp para Windows sin Aviso

 

La campaña de phishing esta dirigida a usuarios de Microsoft OneDrive en varios países, incluyendo EE. UU., Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido. El proceso comienza con un comando que, inicialmente, ejecuta ipconfig /flushdns para limpiar la caché DNS del sistema. Luego, crea una carpeta en la unidad C: llamada "downloads". En esta carpeta, se descarga un archivo que posteriormente se renombra y descomprime, extrayendo dos componentes: 'script.a3x' y 'AutoIt3.exe'. Finalmente, el script malicioso 'script.a3x' se ejecuta utilizando 'AutoIt3.exe', un programa que facilita la automatización de tareas en Windows.

Este tipo de ataques, conocidos como ClickFix, han ganado popularidad recientemente, como lo confirman los hallazgos de varias empresas de seguridad. Estas compañías han observado un aumento en la frecuencia de estos ataques, que explotan la confianza de los usuarios en los sistemas y aplicaciones familiares para distribuir cargas útiles maliciosas.

Además de esta campaña específica de OneDrive, se ha descubierto una nueva táctica de ingeniería social que utiliza correos electrónicos para distribuir archivos de acceso directo de Windows falsos. Estos archivos, cuando se abren, conducen a la ejecución de software malicioso alojado en la infraestructura de la red de entrega de contenido (CDN) de Discord. Este método utiliza Discord para almacenar y distribuir archivos maliciosos, aprovechando la confianza y popularidad de la plataforma.

 

 

Te podrá interesar leer: ¿Qué es Perception Point y cómo funciona?

 

También se ha observado un aumento en las campañas de phishing que utilizan correos electrónicos para enviar enlaces a formularios de Microsoft Office, utilizando cuentas de correo electrónico legítimas previamente comprometidas. Estas campañas buscan engañar a los destinatarios para que proporcionen sus credenciales de inicio de sesión de Microsoft 365, bajo el pretexto de restaurar sus mensajes de Outlook.

"Los atacantes diseñan formularios que parecen legítimos en Microsoft Office Forms, incluyendo enlaces maliciosos," explicó Perception Point. "Estos formularios se distribuyen masivamente por correo electrónico, disfrazados de solicitudes legítimas como cambios de contraseña o acceso a documentos importantes, emulando plataformas y marcas confiables como Adobe o el visor de documentos de Microsoft SharePoint."

Además, se han detectado otros ataques que utilizan señuelos con temas de facturas para persuadir a las víctimas a revelar sus credenciales en páginas de phishing alojadas en Cloudflare R2. La información robada se transmite a los atacantes a través de un bot de Telegram.

No es sorprendente que los cibercriminales estén constantemente innovando en sus métodos para evadir los Secure Email Gateways (SEG) y aumentar la efectividad de sus ataques. Un informe reciente señala que los actores maliciosos están explotando la manera en que los SEG escanean archivos adjuntos ZIP para distribuir el ladrón de información Formbook utilizando DBatLoader (también conocido como ModiLoader y NatsoLoader).

Específicamente, esta táctica implica disfrazar una carga útil HTML como un archivo MPEG, aprovechando que muchos extractores de archivos y SEG solo analizan el encabezado del archivo y no el pie de página, donde puede haber información más precisa sobre el formato del archivo.

Estas tácticas sofisticadas subrayan la necesidad de una vigilancia constante y una actualización continua de las medidas de seguridad para proteger contra las amenazas emergentes.

 

Conclusión

 

Las estafas de phishing son una amenaza constante. La reciente estafa de phishing en OneDrive es solo un ejemplo de cómo los ciberdelincuentes están evolucionando sus tácticas para engañar a los usuarios. La clave para protegerse contra estas amenazas es la educación y la conciencia. 

Una herramienta esencial en esta lucha contra el phishing es nuestro TecnetProtect, una solución de ciberprotección y backups que incluye características específicas para la protección del correo electrónico. Nuestra solución ofrece una capa adicional de seguridad, ayudándote a detectar y bloquear intentos de phishing antes de que lleguen a tu bandeja de entrada. ¡Mantente seguro en línea!