Havoc Phishing Attack
Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα καμπάνια phishing που αξιοποιεί την τεχνική ClickFix για να αναπτύξει το Havoc, ένα πλαίσιο Command-and-Control (C2) ανοιχτού κώδικα. Οι εισβολείς αποκρύπτουν έξυπνα στάδια κακόβουλου λογισμικού πίσω από έναν ιστότοπο του SharePoint, χρησιμοποιώντας μια τροποποιημένη έκδοση του Havoc Demon μαζί με το Microsoft Graph API για να συγκαλύπτουν τις επικοινωνίες εντός νόμιμων υπηρεσιών.
Πίνακας περιεχομένων
Η παγίδα ψαρέματος: Παραπλανητικός χειρισμός email και ClickFix
Η επίθεση πυροδοτείται από ένα email ηλεκτρονικού ψαρέματος που περιέχει ένα συνημμένο HTML με το όνομα Documents.html. Όταν ανοίξει, το αρχείο εμφανίζει ένα μήνυμα σφάλματος που χειραγωγεί το θύμα ώστε να αντιγράψει και να εκτελέσει μια παραποιημένη εντολή PowerShell. Αυτή η τεχνική, γνωστή ως ClickFix, εξαπατά τους χρήστες να πιστέψουν ότι πρέπει να διορθώσουν ένα πρόβλημα σύνδεσης OneDrive ενημερώνοντας με μη αυτόματο τρόπο την προσωρινή μνήμη DNS τους.
Εάν ο στόχος πέσει στο τέχνασμα, εκκινεί κατά λάθος τη διαδικασία μόλυνσης εκτελώντας μια δέσμη ενεργειών PowerShell που συνδέεται με έναν διακομιστή SharePoint που ελέγχεται από τους εισβολείς.
Ανάπτυξη κακόβουλου λογισμικού πολλαπλών σταδίων: Από το PowerShell στην Python
Μόλις εκτελεστεί το μη ασφαλές σενάριο PowerShell, ελέγχει πρώτα εάν το περιβάλλον είναι sandbox για να αποφύγει τον εντοπισμό. Εάν κριθεί ασφαλές, το σενάριο προχωρά στη λήψη της Python ('pythonw.exe') εάν δεν έχει ήδη εγκατασταθεί στο σύστημα.
Από εκεί, ένα δεύτερο σενάριο PowerShell ανακτά και εκτελεί έναν φορτωτή shellcode που βασίζεται σε Python, ο οποίος στη συνέχεια εκκινεί το KaynLdr, έναν ανακλαστικό φορτωτή γραμμένο σε C και Assembly. Αυτό τελικά αναπτύσσει τον πράκτορα Havoc Demon στο παραβιασμένο μηχάνημα.
Havoc's Capabilities: A Stealthy Cyber Weapon
Οι εισβολείς χρησιμοποιούν το Havoc σε συνδυασμό με το Microsoft Graph API για να κρύψουν την κυκλοφορία C2 σε γνωστές, αξιόπιστες υπηρεσίες. Οι λειτουργίες του Havoc περιλαμβάνουν:
- Συλλογή πληροφοριών
- Λειτουργίες αρχείων
- Εκτέλεση εντολών
- Εκτέλεση ωφέλιμου φορτίου
- Συμβολική χειραγώγηση
- Επιθέσεις Kerberos
Διαφημίσεις Google που αξιοποιούνται για τη στόχευση χρηστών του PayPal
Σε μια ξεχωριστή αλλά ανησυχητική εξέλιξη, ειδικοί στον τομέα της κυβερνοασφάλειας παρατήρησαν επίσης παράγοντες απειλών που εκμεταλλεύονται τις πολιτικές του Google Ads για να στοχεύουν χρήστες του PayPal με δόλιες διαφημίσεις.
Αυτές οι τακτικές λειτουργούν πλαστοπροσωπώντας τις νόμιμες σελίδες υποστήριξης του PayPal και εξαπατώντας τους χρήστες να καλέσουν έναν ψεύτικο αριθμό εξυπηρέτησης πελατών. Ο στόχος είναι να συλλεχθούν προσωπικές και οικονομικές πληροφορίες των θυμάτων πείθοντάς τα ότι μιλούν με νόμιμους εκπροσώπους του PayPal.
Κενό στο Google Advertisements: Μια παιδική χαρά για απατεώνες
Η επιτυχία αυτών των τακτικών τεχνικής υποστήριξης εξαρτάται από ένα κενό στις πολιτικές του Google Ads, το οποίο επιτρέπει στους κακούς ηθοποιούς να υποδύονται γνωστές επωνυμίες. Εφόσον η σελίδα προορισμού (τελική διεύθυνση URL) και η διεύθυνση URL εμφάνισης ταιριάζουν στον ίδιο τομέα, οι απατεώνες μπορούν να δημιουργήσουν πειστικές ψεύτικες διαφημίσεις.
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται γρήγορα δημοφιλείς όρους αναζήτησης, ιδιαίτερα αυτούς που σχετίζονται με την υποστήριξη πελατών και την ανάκτηση λογαριασμού, διασφαλίζοντας ότι οι δόλιες διαφημίσεις τους εμφανίζονται στην κορυφή των αποτελεσμάτων αναζήτησης.
Συμπέρασμα: Ένα ανερχόμενο τοπίο απειλών
Από τις καμπάνιες phishing που υποστηρίζονται από το ClickFix έως την κατάχρηση του Google Ads, οι εγκληματίες του κυβερνοχώρου βελτιώνουν συνεχώς τις τακτικές κοινωνικής μηχανικής τους. Αυτές οι απειλές υπογραμμίζουν τη σημασία της επαγρύπνησης, της ευαισθητοποίησης των χρηστών και των ενισχυμένων μέτρων ασφαλείας για τον μετριασμό των κινδύνων που ενέχουν οι εξελισσόμενες επιθέσεις στον κυβερνοχώρο.
