Havoc Phishing Attack
Els investigadors de ciberseguretat han descobert una nova campanya de pesca que aprofita la tècnica ClickFix per desplegar Havoc, un marc de comandament i control (C2) de codi obert. Els atacants amaguen de manera intel·ligent les etapes de programari maliciós darrere d'un lloc de SharePoint, utilitzant una versió modificada del Havoc Demon juntament amb l'API de Microsoft Graph per dissimular les comunicacions dins dels serveis legítims.
Taula de continguts
La trampa de pesca: un correu electrònic enganyós i manipulació de ClickFix
L'atac es desencadena per un correu electrònic de pesca que conté un fitxer adjunt HTML anomenat Documents.html. Quan s'obre, el fitxer mostra un missatge d'error que manipula la víctima perquè copie i executi una ordre de PowerShell manipulada. Aquesta tècnica, coneguda com a ClickFix, enganya els usuaris perquè creguin que necessiten solucionar un problema de connexió de OneDrive actualitzant manualment la memòria cau DNS.
Si l'objectiu cau en el truc, inicien el procés d'infecció sense voler executant un script de PowerShell que es connecta a un servidor SharePoint controlat per un atacant.
Desplegament de programari maliciós en diverses etapes: de PowerShell a Python
Una vegada que s'executa l'script de PowerShell no segur, primer comprova si l'entorn està protegit per evitar la detecció. Si es considera segur, l'script procedeix a descarregar Python ('pythonw.exe') si encara no s'ha instal·lat al sistema.
A partir d'aquí, un segon script de PowerShell recupera i executa un carregador de codi d'intèrpret d'ordres basat en Python, que després llança KaynLdr, un carregador reflectant escrit en C i Assembly. Això finalment desplega l'agent Havoc Demon a la màquina compromesa.
Capacitats de Havoc: una arma cibernètica furtiva
Els atacants utilitzen Havoc juntament amb l'API de Microsoft Graph per ocultar el trànsit C2 dins de serveis coneguts i de confiança. Les funcionalitats de Havoc inclouen:
- Recollida d'informació
- Operacions de fitxers
- Execució de comandaments
- Execució de càrrega útil
- Manipulació de fitxes
- Atacs de Kerberos
Anuncis de Google explotats per orientar-se als usuaris de PayPal
En un desenvolupament separat però alarmant, els experts en ciberseguretat també han observat que els actors d'amenaces exploten les polítiques de Google Ads per orientar els usuaris de PayPal amb anuncis fraudulents.
Aquestes tàctiques funcionen suplantant les pàgines d'assistència legítimes de PayPal i enganyant els usuaris perquè truquin a un número d'atenció al client fals. L'objectiu és recollir informació personal i financera de les víctimes convèncer-les que parlen amb representants legítims de PayPal.
Llacuna dels anuncis de Google: un terreny de joc per als estafadors
L'èxit d'aquestes tàctiques d'assistència tècnica depèn d'una bretxa a les polítiques de Google Ads, que permet als actors dolents suplantar la identitat de marques conegudes. Mentre la pàgina de destinació (URL final) i l'URL visible coincideixen amb el mateix domini, els estafadors poden crear anuncis falsos convincents.
Els ciberdelinqüents s'aprofiten ràpidament dels termes de cerca populars, especialment els relacionats amb l'assistència al client i la recuperació del compte, assegurant-se que els seus anuncis fraudulents apareguin a la part superior dels resultats de la cerca.
Conclusió: un paisatge d’amenaça creixent
Des de les campanyes de pesca impulsades per ClickFix fins a l'abús de Google Ads, els ciberdelinqüents estan perfeccionant contínuament les seves tàctiques d'enginyeria social. Aquestes amenaces posen de manifest la importància de la vigilància, la conscienciació dels usuaris i les mesures de seguretat millorades per mitigar els riscos que comporten els ciberatacs en evolució.
