Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

Фишеры используют фейковую ошибку OneDrive для запуска PowerShell-скрипта

Киберпреступники запустили новую фишинговую кампанию, нацеленную на пользователей Microsoft OneDrive. С помощью приёмов социальной инженерии злоумышленники заставляют жертв запустить PowerShell-скрипт.

О новой активности фишеров сообщили исследователи из компании Trellix, присвоившие ей кодовое имя «OneDrive Pastejacking». Рафаэль Пенья, один из экспертов, пишет в блоге:

«Эта кампания плотно завязана на использовании социальной инженерии. Задача — заставить пользователей выполнить скрип PowerShell, что приведёт к компрометации системы».

Всё начинается с электронного письма, в котором содержится HTML-файл, при открытии которого получателю демонстрируется страница OneDrive с сообщением об ошибке:

«Невозможно соединиться с облачным сервисом OneDrive. Для устранения ошибки вам нужно обновить DNS-кеш вручную».

 

В этом сообщении есть две опции: «Как исправить» и «Детали». Последняя перенаправляет пользователя на подлинную страницу Microsoft Learn, посвящённую устранению неполадок с DNS.

Если же кликнуть на первую ссылку («Как исправить»), получателю предложат выполнить ряд шагов, включая нажатие комбинации клавиш «Windows + X», запуск PowerShell-терминала и вставку Base64-команды, которая должна устранить проблемы.

«Эта команда сначала запустит ipconfig /flushdns и создаст директорию “downloads“ в корне диска C. Далее она загрузит архив в эту папку, переименует его и распакует содержимое», — объясняет Пенья.

«В архиве лежат файлы script.a3x и AutoIt3.exe. Первым делом стартует последний, с помощью которого запускается скрипт script.a3x».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Совет ЕС принял единый регламент по безопасности IoT

Евросовет принял единый регламент, который содержит требования по обеспечению кибербезопасности подключенных цифровых продуктов, относящихся к устройствам интернета вещей (IoT). Новый регламент вступит в силу 1 ноября 2024 года. Однако полностью он начнет применяться только через 3 года.

Впервые о данном документе объявила председатель Еврокомиссии Урсула фон дер Ляйен в сентябре 2021 года в обращении к членам ЕС.

15 сентября 2022 года Еврокомиссия представила предложения, дополняющие Акт о киберустойчивости, где содержались требования к обеспечению безопасности IoT-устройств.

Вышедший 10 октября 2024 года регламент (PDF) вводит единые для всего ЕС требования к кибербезопасности IoT-устройств. Они касаются всех стадий их жизненного цикла, включая проектирование, разработку, производство и предоставления на рынке аппаратных и программных продуктов.

Регламент будет распространяться на все девайсы, которые могут подключаться друг к другу или к разного рода публичным сетям, включая интернет. Однако предусмотрены исключения для изделий и продуктов, где требования к кибербезопасности регламентируются другими документами на уровне ЕС, в частности, ряда систем для автомобилей, авиации и медицинского оборудования.

Требования нового регламента направлены на то, чтобы поднять информированность потребителей о том, что выбираемые ими устройства содержать подключаемые компоненты и убедиться в их безопасности.

Пока уровень кибербезопасности IoT устройств остается низким. Атака на многие из них является тривиальной процедурой даже для низкоквалифицированных злоумышленников. Плюс ко всему, подключенные устройства, в том числе бытового назначения, собирают большие массивы довольно чувствительных данных, которые скрытно передаются производителю.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru