Havoc фишинг атака
Разследващите киберсигурност са разкрили нова фишинг кампания, която използва техниката ClickFix за внедряване на Havoc, рамка с отворен код Command-and-Control (C2). Нападателите умело прикриват етапите на зловреден софтуер зад сайт на SharePoint, използвайки модифицирана версия на Havoc Demon заедно с API на Microsoft Graph, за да прикрият комуникациите в легитимни услуги.
Съдържание
Капанът за фишинг: измамен имейл и манипулация с ClickFix
Атаката се задейства от фишинг имейл, който съдържа HTML прикачен файл с име Documents.html. Когато се отвори, файлът показва съобщение за грешка, което манипулира жертвата да копира и изпълни подправена команда на PowerShell. Тази техника, известна като ClickFix, подмамва потребителите да повярват, че трябва да коригират проблем с връзката на OneDrive, като актуализират ръчно своя DNS кеш.
Ако целта падне на трика, те неволно инициират процеса на заразяване, като изпълняват PowerShell скрипт, който се свързва с контролиран от нападател SharePoint сървър.
Многоетапно внедряване на зловреден софтуер: от PowerShell до Python
След като опасният скрипт на PowerShell се изпълни, той първо проверява дали средата е в пясъчна среда, за да избегне откриването. Ако се счита за безопасен, скриптът продължава да изтегля Python ('pythonw.exe'), ако вече не е инсталиран в системата.
Оттам втори скрипт на PowerShell извлича и изпълнява базиран на Python shellcode loader, който след това стартира KaynLdr, отразяващ товарач, написан на C и Assembly. Това в крайна сметка разгръща агента Havoc Demon на компрометираната машина.
Възможностите на Havoc: Скрито кибер оръжие
Нападателите използват Havoc в тандем с Microsoft Graph API, за да прикрият C2 трафик в рамките на добре познати, надеждни услуги. Функционалностите на Havoc включват:
- Събиране на информация
- Файлови операции
- Изпълнение на команда
- Изпълнение на полезния товар
- Манипулиране на токени
- Kerberos атаки
Реклами на Google, използвани за насочване към потребители на PayPal
В отделно, но тревожно развитие, експертите по киберсигурност също са наблюдавали заплахи, които използват правилата на Google Ads, за да насочват потребителите на PayPal с измамни реклами.
Тези тактики работят, като се представят за легитимни страници за поддръжка на PayPal и подмамват потребителите да се обадят на фалшив номер за обслужване на клиенти. Целта е да се събере лична и финансова информация на жертвите, като се убедят, че говорят с легитимни представители на PayPal.
Google Advertisements Loophole: площадка за измамници
Успехът на тези тактики за техническа поддръжка зависи от вратичка в правилата на Google Ads, която позволява на лошите актьори да се представят за добре известни марки. Докато целевата страница (крайният URL адрес) и показваният URL адрес съвпадат с един и същи домейн, измамниците могат да създават убедителни фалшиви реклами.
Киберпрестъпниците бързо експлоатират популярни думи за търсене, особено тези, свързани с поддръжка на клиенти и възстановяване на акаунти, като гарантират, че техните измамни реклами се показват в горната част на резултатите от търсенето.
Заключение: пейзаж на нарастваща заплаха
От задвижвани от ClickFix фишинг кампании до злоупотреби с Google Ads, киберпрестъпниците непрекъснато усъвършенстват своите тактики за социално инженерство. Тези заплахи подчертават значението на бдителността, информираността на потребителите и подобрените мерки за сигурност за смекчаване на рисковете, породени от развиващите се кибератаки.
