行业新闻与博客

安全研究人员发现了一个针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。该活动采用先进的社会工程策略诱骗用户执行 PowerShell 脚本，从而危害其系统。 

此次攻击由 Trellix 高级研究中心发现，始于一封包含 HTML 文件的电子邮件，敦促用户解决 DNS 问题以访问 OneDrive 文件。

打开 HTML 文件后，用户会看到一个模拟 OneDrive 页面的图像，其中显示有关 DNS 问题的错误消息，并提示用户两个按钮：“详细信息”和“如何修复”。单击“详细信息”会将用户引导至有关 DNS 故障排除的合法 Microsoft Learn 页面。但是，“如何修复”按钮会在 HTML 文件中执行 JavaScript 函数，引导用户打开 Windows PowerShell 终端并运行特定命令。

执行后，该命令会刷新 DNS 缓存并在 C: 驱动器上创建一个名为“downloads”的文件夹。然后，它会下载存档文件、提取其内容并运行脚本。Trellix 解释说，这一系列操作凸显了攻击者使用看似合法的进程来欺骗用户入侵其系统。 

该公司解释说：“这种技术术语和紧急错误信息的组合是一种典型的社会工程策略，旨在操纵用户的情绪并在没有仔细考虑的情况下促使用户采取草率的行动。”

通过解码 Base64 编码的字符串并将命令复制到剪贴板，攻击者有效地操纵用户执行恶意脚本。

Trellix 表示：“在企业环境中，此类攻击的影响可能不仅限于个人数据泄露，还可能造成大范围网络入侵、重大财务损失和严重声誉损害。”

该公司补充道，此次活动凸显了网络安全领域持续存在的社会工程风险。

“企业必须保持警惕，不断教育员工并加强安全措施，以抵御此类复杂攻击。此次攻击的全球分布凸显了国际合作和情报共享的必要性，以有效打击这些威胁。”