網路釣魚攻擊鎖定OneDrive用戶，引誘執行惡意PowerShell指令碼

假借排除電腦錯誤碼的名義，引誘使用者複製PowerShell命令並執行的攻擊手法，最近有數起資安事故傳出，例如，有人架設冒牌IT技術支援網站而散布竊資軟體Vidar Stealer、也有聲稱應用程式出錯而誘使植入惡意軟體的情況，如今又有類似的網路攻擊出現。

資安業者Trellix揭露針對雲端檔案共享服務OneDrive用戶而來的攻擊行動，駭客先是寄送釣魚郵件，其中內含HTML附件檔，一旦收信人開啟，電腦就會顯示共享PDF檔案Reports.pdf的OneDrive網頁，並彈出Error 0x8004de86錯誤訊息，聲稱無法與OneDrive服務連線，使用者必須手動更新DNS快取來因應。

而這個錯誤訊息提供使用者兩個按鈕，其中一個是修復方法（How to fix），另一個則是詳細資料。

若是點選詳細資料，駭客便會將使用者導向Microsoft Learn的DNS故障排除網頁，但假如使用者點選How to fix按鈕，就會看到「指示」，要求按下特定快速鍵（視窗鍵+X）並執行PowerShell或是終端機，然後在視窗裡先後按下Ctrl+V及Enter。一旦使用者依照指示操作，電腦就會執行以Base64編碼處理過的PowerShell命令。 

究竟駭客何時擅自將惡意指令複製到剪貼簿？答案就是使用者按下How to fix之後，會同時觸發HTML檔案內嵌的JavaScript指令碼特定功能函數呼叫。

因此，使用者後續在終端機貼上剪貼簿的內容，就會執行攻擊者下達的惡意命令。駭客會先執行ipconfig /flushdns，然後下載AutoIT執行檔及惡意指令碼，從而在受害電腦部署惡意軟體。此外，上述作業執行完成後，電腦還會顯示操作成功與要求使用者重新載入網頁的訊息，此舉看似正常，使得受害者難察覺有異。