Havoc phishingový útok

Vyšetřovatelé kybernetické bezpečnosti odhalili novou phishingovou kampaň, která využívá techniku ClickFix k nasazení Havoc, open source frameworku Command-and-Control (C2). Útočníci chytře skrývají malwarové fáze za webem SharePoint a využívají upravenou verzi Havoc Demon spolu s rozhraním Microsoft Graph API k zamaskování komunikace v rámci legitimních služeb.

Past na phishing: podvodný e-mail a manipulace ClickFix

Útok je spuštěn phishingovým e-mailem, který obsahuje přílohu HTML s názvem Documents.html. Po otevření souboru se zobrazí chybová zpráva, která zmanipuluje oběť tak, aby zkopírovala a provedla zfalšovaný příkaz PowerShellu. Tato technika, známá jako ClickFix, přiměje uživatele, aby uvěřili, že potřebují vyřešit problém s připojením OneDrive ruční aktualizací mezipaměti DNS.

Pokud cíl propadne triku, neúmyslně zahájí proces infekce spuštěním skriptu PowerShellu, který se připojí k serveru SharePoint kontrolovanému útočníkem.

Vícefázové nasazení malwaru: Od PowerShellu po Python

Jakmile se nebezpečný skript PowerShell spustí, nejprve zkontroluje, zda je prostředí v karanténě, aby se vyhnulo detekci. Je-li to považováno za bezpečné, skript pokračuje ve stahování Pythonu ('pythonw.exe'), pokud ještě nebyl v systému nainstalován.

Odtud druhý skript PowerShellu načte a spustí zavaděč shellkódu založený na Pythonu, který pak spustí KaynLdr, reflexní zavaděč napsaný v C a Assembly. To nakonec nasadí agenta Havoc Demon na napadený stroj.

Havoc’s Capabilities: Tajná kybernetická zbraň

Útočníci používají Havoc v tandemu s Microsoft Graph API ke skrytí provozu C2 v rámci dobře známých důvěryhodných služeb. Mezi funkce Havoc patří:

• Shromažďování informací
• Operace se soubory
• Provedení příkazu
• Provedení užitečného zatížení
• Manipulace s tokeny
• Kerberos útočí

Reklamy Google využívané k cílení na uživatele PayPal

V samostatném, ale znepokojivém vývoji, odborníci na kybernetickou bezpečnost také pozorovali aktéry ohrožení, jak zneužívají zásady Google Ads k cílení podvodných reklam na uživatele PayPal.

Tato taktika funguje tak, že se vydává za legitimní stránky podpory PayPal a klame uživatele, aby zavolali na falešné číslo zákaznického servisu. Cílem je shromáždit osobní a finanční údaje obětí tím, že je přesvědčíte, že mluví s legitimními zástupci společnosti PayPal.

Google Advertisements Loophole: Hřiště pro podvodníky

Úspěch těchto taktik technické podpory závisí na mezeře v zásadách Google Ads, která umožňuje zlým aktérům vydávat se za známé značky. Pokud se vstupní stránka (cílová URL) a viditelná URL shodují se stejnou doménou, mohou podvodníci vytvářet přesvědčivé falešné reklamy.

Kyberzločinci rychle využívají oblíbené hledané výrazy, zejména ty, které souvisejí se zákaznickou podporou a obnovením účtu, a zajišťují, že se jejich podvodné reklamy zobrazí v horní části výsledků vyhledávání.

Závěr: Krajina rostoucích hrozeb

Od phishingových kampaní založených na ClickFix po zneužívání Google Ads, kyberzločinci neustále zdokonalují své taktiky sociálního inženýrství. Tyto hrozby zdůrazňují důležitost bdělosti, informovanosti uživatelů a vylepšených bezpečnostních opatření ke zmírnění rizik, která představují vyvíjející se kybernetické útoky.