Havoc Phishing Attack
Kyberturvallisuustutkijat ovat paljastaneet uuden tietojenkalastelukampanjan, joka hyödyntää ClickFix-tekniikkaa ottaakseen käyttöön Havocin, avoimen lähdekoodin Command-and-Control (C2) -kehyksen. Hyökkääjät kätkevät taitavasti haittaohjelmien vaiheet SharePoint-sivuston taakse käyttämällä Havoc Demonin muokattua versiota yhdessä Microsoft Graph API:n kanssa peittääkseen viestinnän laillisten palveluiden sisällä.
Sisällysluettelo
Phishing Trap: harhaanjohtava sähköposti ja ClickFix-manipulaatio
Hyökkäyksen laukaisee tietojenkalasteluviesti, joka sisältää Documents.html-nimisen HTML-liitteen. Kun tiedosto avataan, se näyttää virheilmoituksen, joka manipuloi uhria kopioimaan ja suorittamaan peukaloidun PowerShell-komennon. Tämä tekniikka, joka tunnetaan nimellä ClickFix, huijaa käyttäjät uskomaan, että heidän on korjattava OneDrive-yhteysongelma päivittämällä DNS-välimuisti manuaalisesti.
Jos kohde osuu temppuun, he aloittavat vahingossa tartuntaprosessin suorittamalla PowerShell-komentosarjan, joka muodostaa yhteyden hyökkääjän hallitsemaan SharePoint-palvelimeen.
Monivaiheinen haittaohjelmien käyttöönotto: PowerShellistä Pythoniin
Kun vaarallinen PowerShell-komentosarja suoritetaan, se tarkistaa ensin, onko ympäristö hiekkalaatikolla havaitsemisen välttämiseksi. Jos komentosarja katsotaan turvalliseksi, se lataa Pythonin ('pythonw.exe'), jos sitä ei ole jo asennettu järjestelmään.
Sieltä toinen PowerShell-skripti hakee ja suorittaa Python-pohjaisen shellcode-lataimen, joka käynnistää sitten KaynLdr:n, heijastavan latausohjelman, joka on kirjoitettu C-kielellä ja Assemblylla. Tämä lopulta käyttää Havoc Demon -agenttia vaarantuneelle koneelle.
Havocin ominaisuudet: Hiljainen kyberase
Hyökkääjät käyttävät Havocia yhdessä Microsoft Graph API:n kanssa piilottaakseen C2-liikenteen tunnetuissa, luotetuissa palveluissa. Havocin toimintoja ovat:
- Tiedon kerääminen
- Tiedostotoiminnot
- Komennon suoritus
- Hyötykuorman suoritus
- Tokenin manipulointi
- Kerberos hyökkää
Google-mainokset, joita hyödynnetään PayPal-käyttäjille
Erillisessä, mutta hälyttävässä kehityksessä kyberturvallisuusasiantuntijat ovat myös havainneet uhkatekijöitä, jotka käyttävät Google Adsin käytäntöjä kohdistaakseen PayPal-käyttäjiä vilpillisillä mainoksilla.
Nämä taktiikat toimivat esittämällä laillisia PayPal-tukisivuja ja huijaamalla käyttäjät soittamaan väärennettyyn asiakaspalvelunumeroon. Tavoitteena on kerätä uhrien henkilökohtaisia ja taloudellisia tietoja vakuuttamalla heidät siitä, että he keskustelevat laillisten PayPalin edustajien kanssa.
Google Advertisements Porsaanreikä: huijareiden leikkikenttä
Näiden teknisen tuen taktiikkojen menestys riippuu Google Ads -käytäntöjen porsaanreiästä, jonka ansiosta huonot toimijat voivat esiintyä tunnetuina brändeina. Niin kauan kuin aloitussivu (lopullinen URL) ja näkyvä URL-osoite vastaavat samaa verkkotunnusta, huijarit voivat luoda vakuuttavia väärennettyjä mainoksia.
Kyberrikolliset käyttävät nopeasti hyväkseen suosittuja hakutermejä, erityisesti niitä, jotka liittyvät asiakastukeen ja tilin palauttamiseen, ja varmistavat, että heidän vilpilliset mainoksensa näkyvät hakutulosten yläosassa.
Johtopäätös: Nouseva uhkamaisema
ClickFix-pohjaisista tietojenkalastelukampanjoista Google Adsin väärinkäyttöön verkkorikolliset parantavat jatkuvasti manipulointitaktiikoitaan. Nämä uhat korostavat valppauden, käyttäjien tietoisuuden ja tehostettujen turvatoimien merkitystä kehittyvien kyberhyökkäysten aiheuttamien riskien vähentämiseksi.
