Trellix 高级研究中心发现了针对 Microsoft OneDrive 用户的复杂网络钓鱼活动，攻击者利用社会工程学策略诱骗用户执行 PowerShell 脚本，从而导致系统受到威胁。攻击者通过伪造的 OneDrive 页面和错误消息，引导用户点击“如何修复”按钮，进而执行恶意脚本，最终导致系统被入侵。

🎯 攻击者通过模拟 OneDrive 页面和错误消息，引导用户点击“如何修复”按钮，进而执行恶意脚本。 攻击者利用社会工程学，模拟 OneDrive 页面，并显示一个名为“Reports.pdf”的文件和一个名为“错误 0x8004de86”的窗口，其中包含一条错误消息，声称用户无法连接到 OneDrive 云服务。为了修复此错误，用户需要手动更新 DNS 缓存。窗口中提供了两个按钮：“详细信息”和“如何修复”。值得注意的是，错误 0x8004de80 是登录 OneDrive 时可能发生的合法问题，攻击者利用用户对该错误的熟悉程度来增加他们的信任度。 当用户点击“如何修复”按钮时，他们会被引导到一系列步骤，其中包括打开快速链接菜单（Windows 键 + X）、访问 Windows PowerShell 终端、粘贴命令并执行它以解决问题的具体说明。攻击者利用用户对 Windows 操作系统的熟悉程度，引导他们执行恶意脚本，最终导致系统被入侵。

🎯 攻击者利用 PowerShell 脚本，在用户的系统上创建文件夹、下载并执行恶意文件。 攻击者提供的 PowerShell 脚本包含一系列命令，这些命令首先运行 ipconfig /flushdns，然后在 C： 驱动器上创建一个名为“downloads”的文件夹。随后，脚本将存档文件下载到此位置，重命名它，提取其内容（“script.a3x”和“AutoIt3.exe”），并使用 AutoIt3.exe 执行 script.a3x。最后，脚本显示以下消息：“操作已成功完成，请重新加载页面。” 通过这些命令，攻击者成功地在用户的系统上创建了一个恶意环境，并执行了恶意代码，最终导致系统被入侵。

🎯 攻击活动主要针对美国、韩国、德国和印度的用户。 Trellix 报告称，该活动针对的大多数用户位于美国（40%）、韩国（17%）、德国（14%） 和印度（10%）。攻击者选择这些国家作为攻击目标，可能是因为这些国家拥有大量的 OneDrive 用户，或者因为这些国家是攻击者感兴趣的目标。 攻击者选择这些国家作为攻击目标，可能是因为这些国家拥有大量的 OneDrive 用户，或者因为这些国家是攻击者感兴趣的目标。这表明攻击者正在针对全球用户，并利用跨国界的信息共享来进行攻击。

🎯 Trellix 发布了妥协指标（IoC），以帮助用户识别和防范攻击。 Trellix 报告提供了妥协指标（IoC），以帮助用户识别和防范攻击。这些指标包括恶意脚本的哈希值、恶意文件的 URL、攻击者使用的 IP 地址等。通过共享这些信息，Trellix 帮助用户识别和防范攻击，并提高网络安全意识。 Trellix 发布了妥协指标（IoC），以帮助用户识别和防范攻击。这些指标包括恶意脚本的哈希值、恶意文件的 URL、攻击者使用的 IP 地址等。通过共享这些信息，Trellix 帮助用户识别和防范攻击，并提高网络安全意识。

🎯 这次攻击凸显了国际合作和情报共享的重要性，以有效应对威胁。 这次攻击的全球分布凸显了国际合作和情报共享的必要性，以有效应对这些威胁。攻击者利用跨国界的信息共享来进行攻击，因此，需要全球范围内的合作来应对这些威胁。通过共享情报和协作，可以更好地识别和防范攻击，并保护用户免受恶意软件和网络钓鱼攻击的侵害。 这次攻击的全球分布凸显了国际合作和情报共享的必要性，以有效应对这些威胁。攻击者利用跨国界的信息共享来进行攻击，因此，需要全球范围内的合作来应对这些威胁。通过共享情报和协作，可以更好地识别和防范攻击，并保护用户免受恶意软件和网络钓鱼攻击的侵害。

在过去的几周里，Trellix 高级研究中心观察到针对 Microsoft OneDrive 用户的复杂网络钓鱼活动。威胁行为者依靠社会工程策略来诱骗用户执行 PowerShell 脚本，从而导致他们的系统受到威胁。攻击链首先诱骗收件人点击一个按钮，该按钮声称可以解释如何修复 DNS 问题，这表明解决此问题将授予对所需文件的访问权限。“攻击按如下方式展开：受害者收到一封包含.html文件的电子邮件。当打开此.html文件时，它会显示一个图像，旨在创建访问文档的紧迫感，从而增加用户按照提供的说明进行操作的可能性。“该图像模拟一个Microsoft OneDrive 页面，其中显示一个名为”Reports.pdf“的文件和一个名为”错误 0x8004de86“的窗口，其中包含以下错误消息：”无法连接到’OneDrive’云服务。要修复此错误，您需要手动更新 DNS 缓存。此窗口有两个按钮：“详细信息”和“如何修复”。值得注意的是，错误 0x8004de80 是登录 OneDrive 时可能发生的合法问题。单击“详细信息”按钮可将用户定向到“DNS 疑难解答”上的合法 Microsoft Learn 页面。单击“如何修复”后，收件人将被指示遵循一系列步骤，其中包括打开快速链接菜单（Windows 键 + X）、访问 Windows PowerShell 终端、粘贴命令并执行它以解决问题的具体说明。“如上图所示，该命令首先运行 ipconfig /flushdns，然后在 C： 驱动器上创建一个名为”downloads“的文件夹。随后，它将存档文件下载到此位置，重命名它，提取其内容（“script.a3x”和“AutoIt3.exe”），并使用 AutoIt3.exe 执行 script.a3x。最后，将显示以下消息：“操作已成功完成，请重新加载页面。Trellix 报告称，该活动针对的大多数用户位于美国 （40%）、韩国 （17%）、德国 （14%） 和印度 （10%）。报告总结道：“这次攻击的全球分布凸显了国际合作和情报共享的必要性，以有效应对这些威胁，”该报告还提供了妥协指标（IoC）。