Havoc Phishing Attack

محققان امنیت سایبری یک کمپین فیشینگ جدید را کشف کرده‌اند که از تکنیک ClickFix برای استقرار Havoc، یک چارچوب فرماندهی و کنترل (C2) منبع باز استفاده می‌کند. مهاجمان با استفاده از نسخه اصلاح شده Havoc Demon به همراه Microsoft Graph API، مراحل بدافزار را در پشت سایت شیرپوینت پنهان می کنند تا ارتباطات درون سرویس های قانونی را پنهان کنند.

تله فیشینگ: یک ایمیل فریبنده و دستکاری کلیک فیکس

این حمله توسط یک ایمیل فیشینگ که حاوی یک پیوست HTML به نام Documents.html است، انجام می شود. پس از باز شدن، فایل یک پیغام خطایی نمایش می دهد که قربانی را برای کپی کردن و اجرای یک فرمان دستکاری شده PowerShell دستکاری می کند. این تکنیک که با نام ClickFix شناخته می‌شود، کاربران را فریب می‌دهد تا فکر کنند باید با به‌روزرسانی دستی حافظه پنهان DNS، مشکل اتصال OneDrive را برطرف کنند.

اگر هدف به این ترفند بیفتد، آنها ناخواسته با اجرای یک اسکریپت PowerShell که به سرور شیرپوینت کنترل شده توسط مهاجم متصل می شود، فرآیند آلودگی را آغاز می کنند.

استقرار بدافزار چند مرحله ای: از PowerShell تا Python

هنگامی که اسکریپت ناامن PowerShell اجرا می‌شود، ابتدا بررسی می‌کند که آیا محیط برای جلوگیری از شناسایی، جعبه‌بندی شده است یا خیر. اگر ایمن تلقی شود، اسکریپت به دانلود پایتون ('pythonw.exe') ادامه می‌دهد، اگر قبلاً روی سیستم نصب نشده باشد.

از آنجا، اسکریپت دوم PowerShell یک بارگذار پوسته کد مبتنی بر پایتون را واکشی و اجرا می کند، که سپس KaynLdr، یک بارکننده بازتابنده نوشته شده در C و اسمبلی را راه اندازی می کند. این در نهایت عامل Havoc Demon را روی ماشین در معرض خطر مستقر می کند.

قابلیت های Havoc: یک سلاح سایبری مخفی

مهاجمان از Havoc همراه با Microsoft Graph API برای پنهان کردن ترافیک C2 در سرویس های شناخته شده و قابل اعتماد استفاده می کنند. قابلیت های Havoc عبارتند از:

• جمع آوری اطلاعات
• عملیات فایل
• اجرای دستور
• اجرای بار
• دستکاری توکن
• کربروس حمله می کند

تبلیغات گوگل برای هدف قرار دادن کاربران پی پال مورد سوء استفاده قرار می گیرد

در یک تحول جداگانه و در عین حال هشداردهنده، کارشناسان امنیت سایبری همچنین عوامل تهدید کننده را مشاهده کرده‌اند که از سیاست‌های Google Ads برای هدف قرار دادن کاربران PayPal با تبلیغات جعلی سوء استفاده می‌کنند.

این تاکتیک ها با جعل هویت صفحات پشتیبانی قانونی پی پال و فریب کاربران برای تماس با شماره خدمات مشتری جعلی کار می کنند. هدف جمع آوری اطلاعات شخصی و مالی قربانیان از طریق متقاعد کردن آنها به صحبت با نمایندگان قانونی پی پال است.

حفره تبلیغاتی گوگل: زمین بازی برای کلاهبرداران

موفقیت این تاکتیک‌های پشتیبانی فنی به شکافی در خط‌مشی‌های Google Ads بستگی دارد، که به بازیگران بد اجازه می‌دهد جعل هویت برندهای معروف را جعل کنند. تا زمانی که صفحه فرود (URL نهایی) و URL نمایشگر با یک دامنه مطابقت داشته باشند، کلاهبرداران می توانند تبلیغات جعلی متقاعد کننده ایجاد کنند.

مجرمان سایبری به سرعت از عبارات جستجوی محبوب، به ویژه آنهایی که مربوط به پشتیبانی مشتری و بازیابی حساب هستند، سوء استفاده می کنند و اطمینان حاصل می کنند که تبلیغات جعلی آنها در بالای نتایج جستجو ظاهر می شود.

نتیجه گیری: چشم انداز تهدید در حال افزایش

از کمپین های فیشینگ مبتنی بر ClickFix گرفته تا سوء استفاده از Google Ads، مجرمان سایبری به طور مداوم تاکتیک های مهندسی اجتماعی خود را اصلاح می کنند. این تهدیدها اهمیت هوشیاری، آگاهی کاربران و اقدامات امنیتی پیشرفته برای کاهش خطرات ناشی از حملات سایبری در حال تحول را برجسته می کند.