Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

Киберпреступники запустили новую фишинговую кампанию, нацеленную на пользователей Microsoft OneDrive. С помощью приёмов социальной инженерии злоумышленники заставляют жертв запустить PowerShell-скрипт.

О новой активности фишеров сообщили исследователи из компании Trellix, присвоившие ей кодовое имя «OneDrive Pastejacking». Рафаэль Пенья, один из экспертов, пишет в блоге:

«Эта кампания плотно завязана на использовании социальной инженерии. Задача — заставить пользователей выполнить скрип PowerShell, что приведёт к компрометации системы».

Всё начинается с электронного письма, в котором содержится HTML-файл, при открытии которого получателю демонстрируется страница OneDrive с сообщением об ошибке:

«Невозможно соединиться с облачным сервисом OneDrive. Для устранения ошибки вам нужно обновить DNS-кеш вручную».

 

В этом сообщении есть две опции: «Как исправить» и «Детали». Последняя перенаправляет пользователя на подлинную страницу Microsoft Learn, посвящённую устранению неполадок с DNS.

Если же кликнуть на первую ссылку («Как исправить»), получателю предложат выполнить ряд шагов, включая нажатие комбинации клавиш «Windows + X», запуск PowerShell-терминала и вставку Base64-команды, которая должна устранить проблемы.

«Эта команда сначала запустит ipconfig /flushdns и создаст директорию “downloads“ в корне диска C. Далее она загрузит архив в эту папку, переименует его и распакует содержимое», — объясняет Пенья.

«В архиве лежат файлы script.a3x и AutoIt3.exe. Первым делом стартует последний, с помощью которого запускается скрипт script.a3x».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google Chrome блокирует нотификации мошенников, отзывая разрешения

В браузере Google усовершенствован механизм Safety Check, добавлена возможность одноразовых разрешений для сайтов, облегчен отказ от непрошеных нотификаций в Android. Нововведения уже начали развертываться в виде очередной версии Chrome.

Обновленная защита Chrome Safety Check теперь автоматически аннулирует получение уведомлений с ресурсов, занесенных в базу Google Safe Browsing как мошеннические.

 

Работая в фоновом режиме, защитная функция также реагирует на новые типы угроз:

  • напоминает о требующих внимания проблемах безопасности / приватности;
  • предупреждает о сомнительных нотификациях и потенциально опасных плагинах (перенаправляя на список для удаления);
  • отзывает разрешения для сайтов, которые юзер перестал посещать.

При этом Safety Check информирует пользователя обо всех своих действиях.

Для пользователей десктопных и Android-версии Chrome расширен контроль над данными, которыми они обмениваются с веб-ресурсами. Опция одноразовых разрешений позволяет открыть доступ сайту к микрофону или камере лишь на время визита; при уходе разрешение отзывается, и при повторном посещении его снова придется выдавать.

Нежелательные уведомления сайтов не только раздражают, но и могут оказаться зловредными. Браузер теперь предлагает в один клик отписаться от получения подобного мусора, нажав кнопку «Unsubscribe». Новинка, по словам Google, уже помогла на 30% сократить объемы нотификаций на Pixel и скоро появится и на других Android-устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru