Attacco di phishing Havoc
Gli investigatori della sicurezza informatica hanno scoperto una nuova campagna di phishing che sfrutta la tecnica ClickFix per distribuire Havoc, un framework open source Command-and-Control (C2). Gli aggressori nascondono abilmente le fasi del malware dietro un sito SharePoint, utilizzando una versione modificata di Havoc Demon insieme alla Microsoft Graph API per mascherare le comunicazioni all'interno di servizi legittimi.
Sommario
La trappola del phishing: un’e-mail ingannevole e la manipolazione di ClickFix
L'attacco è innescato da un'e-mail di phishing che contiene un allegato HTML denominato Documents.html. Quando viene aperto, il file visualizza un messaggio di errore che manipola la vittima inducendola a copiare ed eseguire un comando PowerShell manomesso. Questa tecnica, nota come ClickFix, inganna gli utenti facendogli credere di dover risolvere un problema di connessione OneDrive aggiornando manualmente la cache DNS.
Se la vittima cade nella trappola, avvia inavvertitamente il processo di infezione eseguendo uno script di PowerShell che si connette a un server SharePoint controllato dall'aggressore.
Distribuzione di malware in più fasi: da PowerShell a Python
Una volta eseguito lo script PowerShell non sicuro, verifica innanzitutto se l'ambiente è in sandbox per eludere il rilevamento. Se ritenuto sicuro, lo script procede a scaricare Python ('pythonw.exe') se non è già stato installato sul sistema.
Da lì, un secondo script PowerShell recupera ed esegue un loader shellcode basato su Python, che poi avvia KaynLdr, un loader riflettente scritto in C e Assembly. Questo alla fine distribuisce l'agente Havoc Demon sulla macchina compromessa.
Le capacità di Havoc: un’arma informatica furtiva
Gli aggressori utilizzano Havoc in tandem con la Microsoft Graph API per nascondere il traffico C2 all'interno di servizi noti e affidabili. Le funzionalità di Havoc includono:
- Raccolta di informazioni
- Operazioni sui file
- Esecuzione del comando
- Esecuzione del carico utile
- Manipolazione del token
- Attacchi Kerberos
Pubblicità Google sfruttate per colpire gli utenti PayPal
In un altro ma allarmante sviluppo, gli esperti di sicurezza informatica hanno anche osservato che gli autori delle minacce sfruttano le policy di Google Ads per indirizzare annunci pubblicitari fraudolenti agli utenti PayPal.
Queste tattiche funzionano impersonando le pagine di supporto PayPal legittime e inducendo gli utenti a chiamare un numero di assistenza clienti falso. L'obiettivo è raccogliere le informazioni personali e finanziarie delle vittime convincendole che stanno parlando con rappresentanti PayPal legittimi.
Scappatoia nella pubblicità di Google: un parco giochi per i truffatori
Il successo di queste tattiche di supporto tecnico si basa su una scappatoia nelle policy di Google Ads, che consente ai malintenzionati di impersonare marchi noti. Finché la landing page (URL finale) e l'URL visualizzato corrispondono allo stesso dominio, i truffatori possono creare annunci falsi convincenti.
I criminali informatici sfruttano rapidamente i termini di ricerca più comuni, in particolare quelli correlati all'assistenza clienti e al recupero degli account, assicurandosi che i loro annunci fraudolenti appaiano in cima ai risultati di ricerca.
Conclusione: un panorama di minacce in crescita
Dalle campagne di phishing basate su ClickFix all'abuso di Google Ads, i criminali informatici stanno continuamente perfezionando le loro tattiche di ingegneria sociale. Queste minacce evidenziano l'importanza della vigilanza, della consapevolezza degli utenti e di misure di sicurezza migliorate per mitigare i rischi posti dagli attacchi informatici in evoluzione.
