Havoc Phishing Attack

साइबर सुरक्षा जांचकर्ताओं ने एक नए फ़िशिंग अभियान का खुलासा किया है जो हैवॉक, एक ओपन-सोर्स कमांड-एंड-कंट्रोल (C2) फ्रेमवर्क को तैनात करने के लिए ClickFix तकनीक का लाभ उठाता है। हमलावरों ने शेयरपॉइंट साइट के पीछे मैलवेयर चरणों को चतुराई से छिपाया, वैध सेवाओं के भीतर संचार को छिपाने के लिए माइक्रोसॉफ्ट ग्राफ एपीआई के साथ हैवॉक डेमन के संशोधित संस्करण का उपयोग किया।

फ़िशिंग ट्रैप: एक भ्रामक ईमेल और क्लिकफ़िक्स हेरफेर

यह हमला एक फ़िशिंग ईमेल द्वारा ट्रिगर किया जाता है जिसमें Documents.html नामक HTML अटैचमेंट होता है। जब फ़ाइल खोली जाती है, तो यह एक त्रुटि संदेश प्रदर्शित करती है जो पीड़ित को छेड़छाड़ किए गए PowerShell कमांड को कॉपी करने और निष्पादित करने के लिए प्रेरित करती है। ClickFix के नाम से जानी जाने वाली यह तकनीक उपयोगकर्ताओं को यह विश्वास दिलाती है कि उन्हें अपने DNS कैश को मैन्युअल रूप से अपडेट करके OneDrive कनेक्शन समस्या को ठीक करने की आवश्यकता है।

यदि लक्ष्य इस चाल में फंस जाता है, तो वे अनजाने में एक PowerShell स्क्रिप्ट चलाकर संक्रमण प्रक्रिया आरंभ कर देते हैं, जो हमलावर द्वारा नियंत्रित SharePoint सर्वर से जुड़ जाती है।

मल्टी-स्टेज मैलवेयर परिनियोजन: पॉवरशेल से पायथन तक

एक बार जब असुरक्षित PowerShell स्क्रिप्ट निष्पादित होती है, तो यह सबसे पहले जांचता है कि क्या वातावरण सैंडबॉक्स है ताकि पता न चल सके। यदि सुरक्षित माना जाता है, तो स्क्रिप्ट पाइथन ('pythonw.exe') डाउनलोड करने के लिए आगे बढ़ती है, यदि यह पहले से ही सिस्टम पर इंस्टॉल नहीं है।

वहां से, एक दूसरी PowerShell स्क्रिप्ट एक पायथन-आधारित शेलकोड लोडर को प्राप्त करती है और निष्पादित करती है, जो फिर KaynLdr को लॉन्च करती है, जो C और Assembly में लिखा गया एक रिफ्लेक्टिव लोडर है। यह अंततः समझौता किए गए मशीन पर हैवॉक डेमन एजेंट को तैनात करता है।

हैवॉक की क्षमताएं: एक गुप्त साइबर हथियार

हमलावर प्रसिद्ध, विश्वसनीय सेवाओं के भीतर C2 ट्रैफ़िक को छिपाने के लिए Microsoft Graph API के साथ मिलकर Havoc का उपयोग करते हैं। Havoc की कार्यक्षमताओं में शामिल हैं:

• जानकारी एकट्टा करना
• फ़ाइल संचालन
• आदेश निष्पादन
• पेलोड निष्पादन
• टोकन हेरफेर
• केर्बेरोस हमले

गूगल विज्ञापनों का उपयोग PayPal उपयोगकर्ताओं को लक्षित करने के लिए किया गया

एक अलग लेकिन चिंताजनक घटनाक्रम में, साइबर सुरक्षा विशेषज्ञों ने यह भी पाया है कि कुछ लोग धोखाधड़ी वाले विज्ञापनों के माध्यम से PayPal उपयोगकर्ताओं को लक्षित करने के लिए Google विज्ञापन नीतियों का दुरुपयोग कर रहे हैं।

ये हथकंडे वैध PayPal सहायता पृष्ठों का प्रतिरूपण करके और उपयोगकर्ताओं को एक नकली ग्राहक सेवा नंबर पर कॉल करने के लिए प्रेरित करके काम करते हैं। इसका लक्ष्य पीड़ितों को यह विश्वास दिलाकर उनकी व्यक्तिगत और वित्तीय जानकारी एकत्र करना है कि वे वैध PayPal प्रतिनिधियों से बात कर रहे हैं।

गूगल विज्ञापन खामियां: धोखेबाजों के लिए खेल का मैदान

इन तकनीकी सहायता युक्तियों की सफलता Google Ads नीतियों में एक खामी पर निर्भर करती है, जो बुरे लोगों को प्रसिद्ध ब्रांडों का प्रतिरूपण करने की अनुमति देती है। जब तक लैंडिंग पेज (अंतिम URL) और डिस्प्ले URL एक ही डोमेन से मेल खाते हैं, तब तक धोखेबाज़ विश्वसनीय नकली विज्ञापन बना सकते हैं।

साइबर अपराधी लोकप्रिय खोज शब्दों का, विशेष रूप से ग्राहक सहायता और खाता पुनर्प्राप्ति से संबंधित शब्दों का, शीघ्रता से फायदा उठाते हैं, तथा यह सुनिश्चित करते हैं कि उनके धोखाधड़ी वाले विज्ञापन खोज परिणामों में सबसे ऊपर दिखाई दें।

निष्कर्ष: बढ़ता ख़तरा परिदृश्य

ClickFix द्वारा संचालित फ़िशिंग अभियानों से लेकर Google Ads दुरुपयोग तक, साइबर अपराधी लगातार अपनी सोशल इंजीनियरिंग रणनीति को परिष्कृत कर रहे हैं। ये खतरे सतर्कता, उपयोगकर्ता जागरूकता और उन्नत सुरक्षा उपायों के महत्व को उजागर करते हैं ताकि साइबर हमलों से उत्पन्न जोखिमों को कम किया जा सके।