Havoc Phishing-angreb
Cybersikkerhedsefterforskere har afsløret en ny phishing-kampagne, der udnytter ClickFix-teknikken til at implementere Havoc, en open source Command-and-Control (C2)-ramme. Angriberne skjuler klogt malware-stadier bag et SharePoint-websted ved at bruge en modificeret version af Havoc Demon sammen med Microsoft Graph API til at skjule kommunikation inden for legitime tjenester.
Indholdsfortegnelse
Phishing-fælden: En vildledende e-mail- og ClickFix-manipulation
Angrebet udløses af en phishing-e-mail, der indeholder en HTML-vedhæftet fil med navnet Documents.html. Når den åbnes, viser filen en fejlmeddelelse, der manipulerer offeret til at kopiere og udføre en manipuleret PowerShell-kommando. Denne teknik, kendt som ClickFix, narrer brugere til at tro, at de skal løse et OneDrive-forbindelsesproblem ved manuelt at opdatere deres DNS-cache.
Hvis målet falder for tricket, starter de utilsigtet infektionsprocessen ved at køre et PowerShell-script, der forbinder til en angriberstyret SharePoint-server.
Multi-Stage Malware-implementering: Fra PowerShell til Python
Når det usikre PowerShell-script udføres, tjekker det først, om miljøet er sandboxed for at undgå registrering. Hvis det anses for sikkert, fortsætter scriptet med at downloade Python ('pythonw.exe'), hvis det ikke allerede er installeret på systemet.
Derfra henter og udfører et andet PowerShell-script en Python-baseret shellcode-indlæser, som derefter starter KaynLdr, en reflekterende indlæser skrevet i C og Assembly. Dette indsætter i sidste ende Havoc Demon-agenten på den kompromitterede maskine.
Havoc’s Capabilities: Et snigende cybervåben
Angriberne bruger Havoc sammen med Microsoft Graph API til at skjule C2-trafik inden for velkendte, betroede tjenester. Havocs funktioner omfatter:
- Informationsindsamling
- Filhandlinger
- Kommandoudførelse
- Udførelse af nyttelast
- Token manipulation
- Kerberos angreb
Google-annoncer udnyttet til at målrette PayPal-brugere
I en separat, men alligevel alarmerende udvikling, har cybersikkerhedseksperter også observeret trusselsaktører, der udnytter Google Ads-politikker til at målrette PayPal-brugere med svigagtige annoncer.
Disse taktikker virker ved at efterligne legitime PayPal-supportsider og narre brugere til at ringe til et falsk kundeservicenummer. Målet er at indsamle ofrenes personlige og økonomiske oplysninger ved at overbevise dem om, at de taler med legitime PayPal-repræsentanter.
Google Advertisements Loophole: En legeplads for svindlere
Succesen med disse tekniske supporttaktik afhænger af et smuthul i Google Ads-politikkerne, som gør det muligt for dårlige skuespillere at efterligne velkendte brands. Så længe landingssiden (endelig URL) og den annoncerede URL matcher det samme domæne, kan svindlere skabe overbevisende falske reklamer.
Cyberkriminelle er hurtige til at udnytte populære søgetermer, især dem, der er relateret til kundesupport og kontogendannelse, og sikrer, at deres svigagtige annoncer vises øverst i søgeresultaterne.
Konklusion: Et stigende trussellandskab
Fra ClickFix-drevne phishing-kampagner til Google Ads-misbrug forbedrer cyberkriminelle løbende deres social engineering-taktik. Disse trusler fremhæver vigtigheden af årvågenhed, brugerbevidsthed og forbedrede sikkerhedsforanstaltninger for at afbøde de risici, som udviklende cyberangreb udgør.
