Los investigadores de seguridad han descubierto una sofisticada campaña de phishing dirigida a los usuarios de Microsoft OneDrive. La campaña emplea tácticas avanzadas de ingeniería social para engañar a los usuarios para que ejecuten un script de PowerShell, lo que compromete sus sistemas.
El ataque, descubierto por el Centro de investigación avanzada de Trellix, comienza con un correo electrónico que contiene un archivo HTML que insta a los usuarios a resolver un problema de DNS para acceder a un archivo de OneDrive.
Al abrir el archivo HTML, se muestra a los usuarios una imagen que simula una página de OneDrive, que muestra un mensaje de error sobre un problema de DNS y les indica con dos botones: “Detalles” y “Cómo solucionarlo”. Al hacer clic en “Detalles”, los usuarios son dirigidos a una página legítima de Microsoft Learn sobre la resolución de problemas de DNS. Sin embargo, el botón “Cómo solucionarlo” ejecuta una función de JavaScript dentro del archivo HTML, guiando a los usuarios para que abran la terminal de Windows PowerShell y ejecuten un comando específico.
Cuando se ejecuta, el comando vacía la caché de DNS y crea una carpeta llamada “descargas” en la unidad C:. Luego descarga un archivo, extrae su contenido y ejecuta un script. Trellix explicó que esta secuencia de acciones resalta el uso que hacen los atacantes de procesos de apariencia legítima para engañar a los usuarios y hacer que comprometan sus sistemas.
“Esta combinación de jerga técnica y mensajes de error urgentes es una táctica clásica de ingeniería social, diseñada para manipular las emociones del usuario y provocar una acción apresurada sin una consideración cuidadosa”, explicó la empresa.
Al decodificar cadenas codificadas en Base64 y copiar comandos al portapapeles, los atacantes manipulan eficazmente a los usuarios para que ejecuten el script malicioso.
La empresa agregó que la campaña destaca el riesgo constante de la ingeniería social en el campo de la ciberseguridad.
Info – Ciberseguridad Latam