הצעת הנחה מרובה רישיונות
מסד נתונים של איומים פישינג Havoc Phishing Attack

Havoc Phishing Attack

עד Mezo ב-פישינג, תוכנה זדונית
לתרגם ל:
עברית

חוקרי אבטחת סייבר חשפו מסע דיוג חדש הממנף את טכניקת ClickFix כדי לפרוס את Havoc, מסגרת Command-and-Control (C2) בקוד פתוח. התוקפים מסתירים בחוכמה שלבים של תוכנות זדוניות מאחורי אתר SharePoint, תוך שימוש בגרסה שונה של ה-Havoc Demon יחד עם ה-API של Microsoft Graph כדי להסוות תקשורת בתוך שירותים לגיטימיים.

מלכודת הדיוג: מניפולציה מטעה של אימייל ו-ClickFix

ההתקפה מופעלת על ידי הודעת דיוג שמכילה קובץ HTML מצורף בשם Documents.html. כאשר הוא נפתח, הקובץ מציג הודעת שגיאה שמתמרנת את הקורבן להעתיק ולבצע פקודת PowerShell שחוללה. טכניקה זו, המכונה ClickFix, מרמה את המשתמשים להאמין שהם צריכים לתקן בעיית חיבור OneDrive על ידי עדכון ידני של מטמון ה-DNS שלהם.

אם המטרה נופלת בטריק, הם מתחילים בשוגג את תהליך ההדבקה על ידי הפעלת סקריפט PowerShell שמתחבר לשרת SharePoint הנשלט על ידי תוקף.

פריסת תוכנות זדוניות רב-שלביות: מ-PowerShell ועד Python

ברגע שהסקריפט הלא בטוח של PowerShell מופעל, הוא בודק תחילה אם הסביבה נמצאת בארגז חול כדי להתחמק מזיהוי. אם הוא נחשב בטוח, הסקריפט ממשיך להוריד את Python ('pythonw.exe') אם הוא עדיין לא הותקן במערכת.

משם, סקריפט PowerShell שני מביא ומבצע טוען shellcode מבוסס Python, אשר משיק לאחר מכן את KaynLdr, טוען רפלקטיבי שנכתב ב-C וב-Assembly. זה בסופו של דבר פורס את סוכן Havoc Demon על המכונה שנפרצה.

היכולות של Havoc: נשק סייבר חמקני

התוקפים משתמשים ב-Havoc במקביל ל-Microsoft Graph API כדי להסתיר תעבורת C2 בתוך שירותים ידועים ומהימנים. הפונקציות של Havoc כוללות:

  • איסוף מידע
  • פעולות קובץ
  • ביצוע פקודה
  • ביצוע מטען
  • מניפולציה של אסימונים
  • התקפות קרברוס

פרסומות Google מנוצלות למיקוד משתמשי PayPal

בפיתוח נפרד אך מדאיג, מומחי אבטחת סייבר גם הבחינו בשחקני איומים המנצלים את מדיניות Google Ads כדי למקד למשתמשי PayPal פרסומות הונאה.

טקטיקות אלו פועלות על ידי התחזות לדפי תמיכה לגיטימיים של PayPal והטעיית משתמשים להתקשר למספר מזויף של שירות לקוחות. המטרה היא לאסוף מידע אישי ופיננסי של קורבנות על ידי שכנועם שהם מדברים עם נציגי PayPal לגיטימיים.

פירצה של פרסומות בגוגל: מגרש משחקים לרמאים

ההצלחה של טקטיקות התמיכה הטכנית הללו תלויה בפרצה במדיניות Google Ads, המאפשרת לשחקנים גרועים להתחזות למותגים ידועים. כל עוד דף הנחיתה (כתובת האתר הסופית) וכתובת האתר לתצוגה תואמים לאותו דומיין, רמאים יכולים ליצור פרסומות מזויפות משכנעות.

פושעי סייבר ממהרים לנצל מונחי חיפוש פופולריים, במיוחד אלה הקשורים לתמיכת לקוחות ולשחזור חשבון, ומבטיחים שהמודעות המזויפות שלהם יופיעו בראש תוצאות החיפוש.

מסקנה: נוף איום עולה

מקמפיינים דיוג מבוססי ClickFix ועד ניצול לרעה של Google Ads, פושעי סייבר משכללים ללא הרף את טקטיקות ההנדסה החברתית שלהם. איומים אלה מדגישים את החשיבות של ערנות, מודעות למשתמש ואמצעי אבטחה משופרים כדי להפחית את הסיכונים הנשקפים מהתקפות סייבר מתפתחות.

מגמות

הכי נצפה

טוען...