هجوم التصيد الاحتيالي Havoc

كشف محققو الأمن السيبراني عن حملة تصيد جديدة تستغل تقنية ClickFix لنشر Havoc، وهو إطار عمل مفتوح المصدر للتحكم والقيادة (C2). يخفي المهاجمون بذكاء مراحل البرامج الضارة خلف موقع SharePoint، باستخدام نسخة معدلة من Havoc Demon إلى جانب واجهة برمجة تطبيقات Microsoft Graph لإخفاء الاتصالات داخل الخدمات المشروعة.

فخ التصيد الاحتيالي: رسائل البريد الإلكتروني الخادعة والتلاعب بـ ClickFix

يتم تشغيل الهجوم عن طريق رسالة بريد إلكتروني احتيالية تحتوي على مرفق HTML يسمى Documents.html. عند فتح الملف، يعرض الملف رسالة خطأ تخدع الضحية لنسخ وتنفيذ أمر PowerShell تم التلاعب به. تخدع هذه التقنية، المعروفة باسم ClickFix، المستخدمين وتجعلهم يعتقدون أنهم بحاجة إلى إصلاح مشكلة اتصال OneDrive عن طريق تحديث ذاكرة التخزين المؤقت DNS يدويًا.

إذا وقع الهدف في الفخ، فإنه يبدأ عملية العدوى عن غير قصد من خلال تشغيل البرنامج النصي PowerShell الذي يتصل بخادم SharePoint الذي يتحكم فيه المهاجم.

نشر البرامج الضارة على عدة مراحل: من PowerShell إلى Python

بمجرد تنفيذ البرنامج النصي غير الآمن PowerShell، فإنه يتحقق أولاً مما إذا كانت البيئة محمية لتجنب الاكتشاف. إذا تم اعتبارها آمنة، فإن البرنامج النصي يشرع في تنزيل Python ('pythonw.exe') إذا لم يكن مثبتًا بالفعل على النظام.

من هناك، يقوم برنامج PowerShell النصي الثاني بجلب وتنفيذ أداة تحميل shellcode المستندة إلى Python، والتي تقوم بعد ذلك بتشغيل KaynLdr، وهي أداة تحميل عاكسة مكتوبة بلغة C وAssembly. يؤدي هذا في النهاية إلى نشر وكيل Havoc Demon على الجهاز المخترق.

قدرات هافوك: سلاح سيبراني خفي

يستخدم المهاجمون Havoc جنبًا إلى جنب مع واجهة برمجة تطبيقات Microsoft Graph لإخفاء حركة C2 داخل الخدمات المعروفة والموثوقة. تتضمن وظائف Havoc ما يلي:

• جمع المعلومات
• عمليات الملف
• تنفيذ الأوامر
• تنفيذ الحمولة
• التلاعب بالرموز
• هجمات Kerberos

استغلال إعلانات Google لاستهداف مستخدمي PayPal

وفي تطور منفصل ومثير للقلق، لاحظ خبراء الأمن السيبراني أيضًا أن الجهات الفاعلة في مجال التهديد تستغل سياسات إعلانات Google لاستهداف مستخدمي PayPal بإعلانات احتيالية.

تعمل هذه التكتيكات من خلال انتحال صفة صفحات دعم PayPal المشروعة وخداع المستخدمين للاتصال برقم خدمة عملاء مزيف. والهدف هو جمع المعلومات الشخصية والمالية للضحايا من خلال إقناعهم بأنهم يتحدثون مع ممثلي PayPal المشروعين.

ثغرة إعلانات جوجل: ملعب للمحتالين

يعتمد نجاح هذه التكتيكات الخاصة بالدعم الفني على ثغرة في سياسات إعلانات Google، والتي تسمح للمحتالين بانتحال هوية علامات تجارية معروفة. طالما أن صفحة الوصول (عنوان URL النهائي) وعنوان URL المعروض يتطابقان مع نفس النطاق، فيمكن للمحتالين إنشاء إعلانات مزيفة مقنعة.

يسارع مجرمو الإنترنت إلى استغلال مصطلحات البحث الشائعة، وخاصة تلك المتعلقة بدعم العملاء واستعادة الحساب، مما يضمن ظهور إعلاناتهم الاحتيالية في أعلى نتائج البحث.

الخاتمة: مشهد تهديدات متزايدة

من حملات التصيد الاحتيالي المدعومة بـ ClickFix إلى إساءة استخدام إعلانات Google، يعمل مجرمو الإنترنت باستمرار على تحسين تكتيكات الهندسة الاجتماعية الخاصة بهم. وتسلط هذه التهديدات الضوء على أهمية اليقظة ووعي المستخدم وتدابير الأمان المعززة للتخفيف من المخاطر التي تفرضها الهجمات الإلكترونية المتطورة.