Havoc phishing napad
Istražitelji kibernetičke sigurnosti otkrili su novu kampanju krađe identiteta koja koristi tehniku ClickFix za implementaciju Havoca, okvira otvorenog koda Command-and-Control (C2). Napadači vješto skrivaju faze zlonamjernog softvera iza SharePoint stranice, koristeći modificiranu verziju Havoc Demona zajedno s Microsoft Graph API-jem za prikrivanje komunikacije unutar legitimnih usluga.
Sadržaj
Zamka za krađu identiteta: varljiva e-pošta i manipulacija ClickFixom
Napad pokreće phishing email koji sadrži HTML privitak pod nazivom Documents.html. Kada se otvori, datoteka prikazuje poruku o pogrešci koja manipulira žrtvom da kopira i izvrši neovlaštenu PowerShell naredbu. Ova tehnika, poznata kao ClickFix, vara korisnike da povjeruju da moraju riješiti problem veze s OneDriveom ručnim ažuriranjem svoje DNS predmemorije.
Ako meta sjedne na trik, nenamjerno pokreće proces zaraze pokretanjem skripte PowerShell koja se povezuje s SharePoint poslužiteljem kojim upravlja napadač.
Višestupanjska implementacija zlonamjernog softvera: od PowerShell do Pythona
Nakon što se nesigurna PowerShell skripta izvrši, prvo provjerava je li okruženje u sandboxu kako bi se izbjeglo otkrivanje. Ako se smatra sigurnim, skripta nastavlja s preuzimanjem Pythona ('pythonw.exe') ako već nije instaliran na sustavu.
Odatle, druga PowerShell skripta dohvaća i izvršava učitavač shellcode-a temeljen na Pythonu, koji zatim pokreće KaynLdr, refleksivni učitavač napisan u C-u i Assemblyju. Time se naposljetku aktivira agent Havoc Demon na kompromitiranom računalu.
Havocove mogućnosti: nevidljivo kibernetičko oružje
Napadači koriste Havoc u tandemu s Microsoft Graph API-jem za prikrivanje C2 prometa unutar dobro poznatih, pouzdanih usluga. Funkcionalnosti Havoca uključuju:
- Prikupljanje informacija
- Datotečne operacije
- Izvršenje naredbe
- Izvršenje korisnog opterećenja
- Manipulacija tokenom
- Kerberos napadi
Google oglasi iskorišteni za ciljanje korisnika PayPala
U zasebnom, ali alarmantnom razvoju događaja, stručnjaci za kibernetičku sigurnost također su primijetili da akteri prijetnji iskorištavaju pravila Google Adsa za ciljanje korisnika PayPala s lažnim oglasima.
Ove taktike funkcioniraju lažno predstavljajući legitimne PayPal stranice za podršku i navodeći korisnike da nazovu lažni broj korisničke službe. Cilj je prikupiti osobne i financijske podatke žrtava uvjeravajući ih da razgovaraju s legitimnim predstavnicima PayPala.
Rupa u Google Advertisementsu: igralište za prevarante
Uspjeh ovih taktika tehničke podrške ovisi o rupi u pravilima Google Adsa, koja dopušta lošim akterima da lažno predstavljaju poznate robne marke. Sve dok se odredišna stranica (konačni URL) i URL za prikaz podudaraju s istom domenom, prevaranti mogu stvarati uvjerljive lažne oglase.
Cyberkriminalci brzo iskorištavaju popularne pojmove za pretraživanje, osobito one koji se odnose na korisničku podršku i oporavak računa, osiguravajući da se njihovi lažni oglasi pojave na vrhu rezultata pretraživanja.
Zaključak: Krajolik rastuće prijetnje
Od kampanja za krađu identiteta koje pokreće ClickFix do zloupotrebe Google Adsa, kibernetički kriminalci neprestano usavršavaju svoje taktike društvenog inženjeringa. Ove prijetnje naglašavaju važnost opreza, svijesti korisnika i poboljšanih sigurnosnih mjera za ublažavanje rizika koji predstavljaju kibernetički napadi u razvoju.
