Havoc Phishing Attack
A kiberbiztonsági nyomozók új adathalász kampányt fedeztek fel, amely a ClickFix technikát használja a Havoc, egy nyílt forráskódú Command-and-Control (C2) keretrendszer telepítéséhez. A támadók ügyesen elrejtik a rosszindulatú programokat egy SharePoint webhely mögé, a Havoc Demon módosított változatát és a Microsoft Graph API-t használva a legitim szolgáltatásokon belüli kommunikáció álcázására.
Tartalomjegyzék
Az adathalász csapda: megtévesztő e-mail és ClickFix-manipuláció
A támadást egy olyan adathalász e-mail váltja ki, amely egy Documents.html nevű HTML-mellékletet tartalmaz. Megnyitáskor a fájl hibaüzenetet jelenít meg, amely az áldozatot manipulált PowerShell-parancs másolására és végrehajtására készteti. Ez a ClickFix néven ismert technika elhiteti a felhasználókkal, hogy a DNS-gyorsítótár manuális frissítésével meg kell javítaniuk a OneDrive-kapcsolati problémát.
Ha a célpont becsapódik a trükkbe, akkor akaratlanul is elindítják a fertőzési folyamatot egy PowerShell-szkript futtatásával, amely csatlakozik egy támadó által vezérelt SharePoint-kiszolgálóhoz.
Többlépcsős rosszindulatú programok telepítése: PowerShellről Pythonra
A nem biztonságos PowerShell-szkript végrehajtása után először ellenőrzi, hogy a környezet homokozóban van-e az észlelés elkerülése érdekében. Ha biztonságosnak ítélik, a szkript letölti a Pythont ("pythonw.exe"), ha még nincs telepítve a rendszerre.
Innentől egy második PowerShell-szkript lekér és végrehajt egy Python-alapú shellkód-betöltőt, amely ezután elindítja a KaynLdr-t, egy C-ben és Assembly-ben írt tükröző betöltőt. Ez végül a Havoc Demon ügynököt telepíti a kompromittált gépen.
Pusztítás képességei: Lopakodó kiberfegyver
A támadók a Havoc-ot a Microsoft Graph API-val párhuzamosan használják a C2 forgalom elrejtésére a jól ismert, megbízható szolgáltatásokon belül. A Havoc funkciói a következők:
- Információgyűjtés
- Fájlműveletek
- Parancs végrehajtás
- Hasznos teher végrehajtása
- Token manipuláció
- Kerberos támad
A Google hirdetései a PayPal-felhasználók megcélzására szolgálnak
Egy különálló, de riasztó fejlemény során a kiberbiztonsági szakértők azt is megfigyelték, hogy a fenyegetést jelentő szereplők a Google Ads irányelveit kihasználva csalárd hirdetésekkel célozzák meg a PayPal-felhasználókat.
Ezek a taktikák úgy működnek, hogy legitim PayPal-támogatási oldalakat adnak ki, és ráveszik a felhasználókat, hogy hamis ügyfélszolgálati számot hívjanak. A cél az áldozatok személyes és pénzügyi információinak gyűjtése, meggyőzve őket arról, hogy a PayPal törvényes képviselőivel beszélnek.
Google Advertisements kiskapu: A csalók játszótere
E technikai támogatási taktikák sikere a Google Ads irányelveiben lévő kiskapukon múlik, amely lehetővé teszi a rossz szereplők számára, hogy jól ismert márkáknak adjanak ki magukat. Mindaddig, amíg a céloldal (végső URL) és a megjelenített URL ugyanazt a domaint egyezik, a csalók meggyőző hamis hirdetéseket készíthetnek.
A kiberbűnözők gyorsan kihasználják a népszerű keresési kifejezéseket, különösen az ügyfélszolgálattal és a fiók-helyreállítással kapcsolatosakat, így biztosítva, hogy csalárd hirdetéseik a keresési eredmények tetején jelenjenek meg.
Következtetés: Emelkedő fenyegetés táj
A ClickFix által vezérelt adathalász kampányoktól a Google Ads-visszaélésekig a kiberbűnözők folyamatosan finomítják szociális tervezési taktikáikat. Ezek a fenyegetések rávilágítanak az éberség, a felhasználói tudatosság és a fokozott biztonsági intézkedések fontosságára a fejlődő kibertámadások által jelentett kockázatok mérséklése érdekében.
