Havoc Phishing Attack
Küberturvalisuse uurijad on avastanud uue andmepüügikampaania, mis kasutab ClickFixi tehnikat, et juurutada avatud lähtekoodiga Command-and-Control (C2) raamistik Havoc. Ründajad varjavad osavalt SharePointi saidi taha pahavara etappe, kasutades Havoc Demoni muudetud versiooni koos Microsoft Graphi API-ga, et varjata suhtlust seaduslike teenustega.
Sisukord
Andmepüügilõks: petlik e-kiri ja ClickFixi manipuleerimine
Rünnaku käivitab andmepüügimeil, mis sisaldab HTML-i manust nimega Documents.html. Avamisel kuvatakse failis tõrketeade, mis sunnib ohvrit kopeerima ja täitma rikutud PowerShelli käsku. See ClickFixi nime all tuntud tehnika paneb kasutajad uskuma, et neil on vaja OneDrive'i ühenduse probleem lahendada, värskendades käsitsi oma DNS-i vahemälu.
Kui sihtmärk langeb triki alla, käivitavad nad tahtmatult nakatumisprotsessi, käivitades PowerShelli skripti, mis loob ühenduse ründaja juhitava SharePointi serveriga.
Mitmeastmeline pahavara juurutamine: PowerShellist Pythonile
Kui ebaturvaline PowerShelli skript käivitub, kontrollib see esmalt, kas keskkond on tuvastamisest kõrvalehoidmiseks liivakastis. Kui skript on ohutu, laadib skript alla Pythoni ("pythonw.exe"), kui seda pole veel süsteemi installitud.
Sealt hangib ja käivitab teine PowerShelli skript Pythoni-põhise shellikoodi laadija, mis seejärel käivitab C-s ja Assemblys kirjutatud peegeldava laadija KaynLdr. See viib lõpuks ohustatud masinasse Havoc Demoni agendi.
Havoci võimalused: salajane küberrelv
Ründajad kasutavad Havocit koos Microsoft Graph API-ga, et varjata C2 liiklust tuntud ja usaldusväärsetes teenustes. Havoci funktsioonide hulka kuuluvad:
- Info kogumine
- Failitoimingud
- Käsu täitmine
- Kasuliku koormuse täitmine
- Tokeniga manipuleerimine
- Kerberos ründab
Google’i reklaamid, mida kasutatakse PayPali kasutajate sihtimiseks
Eraldi, kuid murettekitava arengu käigus on küberjulgeolekueksperdid täheldanud ka ohutegureid, kes kasutavad Google Adsi eeskirju ära, et sihtida PayPali kasutajaid petturlike reklaamidega.
Need taktikad toimivad seaduslike PayPali tugilehtedena ja meelitades kasutajaid helistama võltsitud klienditeeninduse numbrile. Eesmärk on koguda ohvrite isiklikku ja finantsteavet, veendes neid, et nad räägivad seaduslike PayPali esindajatega.
Google Advertisementsi lünk: petturite mängumaa
Nende tehnilise toe taktikate edu sõltub Google Adsi eeskirjades olevast lünkast, mis võimaldab halbadel tegutsejatel esineda tuntud kaubamärkidega. Kuni sihtleht (lõplik URL) ja kuvatav URL vastavad samale domeenile, saavad petturid luua veenvaid võltsreklaame.
Küberkurjategijad kasutavad kiiresti ära populaarseid otsingutermineid, eriti neid, mis on seotud klienditoe ja konto taastamisega, tagades, et nende petturlikud reklaamid ilmuvad otsingutulemuste ülaosas.
Järeldus: tõusva ohu maastik
Alates ClickFixi toega andmepüügikampaaniatest kuni Google Adsi kuritarvitamiseni täiustavad küberkurjategijad pidevalt oma sotsiaalse manipuleerimise taktikat. Need ohud rõhutavad valvsuse, kasutajate teadlikkuse ja täiustatud turvameetmete tähtsust, et leevendada arenevatest küberrünnakutest tulenevaid riske.
