Havoc Phishing Attack
Kibernetinio saugumo tyrėjai atskleidė naują sukčiavimo kampaniją, kuri naudoja „ClickFix“ techniką, kad įdiegtų „Havoc“, atvirojo kodo komandų ir valdymo (C2) sistemą. Užpuolikai sumaniai slepia kenkėjiškų programų etapus už SharePoint svetainės, naudodami modifikuotą Havoc Demon versiją kartu su Microsoft Graph API, kad užmaskuotų ryšį su teisėtomis paslaugomis.
Turinys
Sukčiavimo spąstai: apgaulingas el. laiškas ir manipuliavimas ClickFix
Ataką sukelia sukčiavimo el. laiškas, kuriame yra HTML priedas pavadinimu Documents.html. Atidarius failą, rodomas klaidos pranešimas, kuris verčia auką nukopijuoti ir vykdyti sugadintą PowerShell komandą. Ši technika, žinoma kaip ClickFix, priverčia vartotojus manyti, kad jiems reikia išspręsti OneDrive ryšio problemą rankiniu būdu atnaujinant DNS talpyklą.
Jei taikinys patenka į triuką, jie netyčia inicijuoja užkrėtimo procesą paleisdami PowerShell scenarijų, kuris prisijungia prie užpuoliko valdomo SharePoint serverio.
Daugiapakopis kenkėjiškų programų diegimas: nuo „PowerShell“ iki „Python“.
Kai vykdomas nesaugus „PowerShell“ scenarijus, jis pirmiausia patikrina, ar aplinka yra smėlio dėžėje, kad būtų išvengta aptikimo. Jei jis laikomas saugiu, scenarijus toliau atsisiunčia Python („pythonw.exe“), jei jis dar nebuvo įdiegtas sistemoje.
Iš ten antrasis „PowerShell“ scenarijus paima ir vykdo „Python“ pagrindu sukurtą apvalkalo kodo įkroviklį, kuris paleidžia „KaynLdr“ – atspindinčią įkroviklį, parašytą C ir Assembly kalbomis. Tai galiausiai įdiegia Havoc Demon agentą pažeistoje mašinoje.
Havoc’s Capabilities: slaptas kibernetinis ginklas
Užpuolikai naudoja Havoc kartu su Microsoft Graph API, kad paslėptų C2 srautą gerai žinomose, patikimose paslaugose. Havoc funkcijos apima:
- Informacijos rinkimas
- Failų operacijos
- Komandos vykdymas
- Naudingojo krovinio vykdymas
- Žetonų manipuliavimas
- Kerberos atakos
„Google“ skelbimai, naudojami „PayPal“ naudotojams
Kibernetinio saugumo ekspertai taip pat pastebėjo, kad grėsmės veikėjai naudojasi „Google Ads“ politika, siekdami nukreipti „PayPal“ naudotojus apgaulingomis reklamomis.
Šios taktikos veikia apsimetinėjant teisėtais „PayPal“ palaikymo puslapiais ir priverčiant vartotojus paskambinti netikru klientų aptarnavimo numeriu. Tikslas yra rinkti aukų asmeninę ir finansinę informaciją įtikinant jas, kad jos kalbasi su teisėtais PayPal atstovais.
„Google Advertisements“ spraga: sukčių žaidimų aikštelė
Šių techninio palaikymo taktikų sėkmė priklauso nuo „Google Ads“ politikos spragų, dėl kurių blogi veikėjai gali apsimesti gerai žinomais prekių ženklais. Kol nukreipimo puslapis (galutinis URL) ir rodomas URL sutampa su tuo pačiu domenu, sukčiai gali sukurti įtikinamą netikrą reklamą.
Kibernetiniai nusikaltėliai greitai išnaudoja populiarius paieškos terminus, ypač susijusius su klientų palaikymu ir paskyros atkūrimu, užtikrindami, kad jų apgaulingi skelbimai būtų rodomi paieškos rezultatų viršuje.
Išvada: kylančios grėsmės peizažas
Nuo „ClickFix“ pagrįstų sukčiavimo kampanijų iki „Google Ads“ piktnaudžiavimo – kibernetiniai nusikaltėliai nuolat tobulina savo socialinės inžinerijos taktiką. Šios grėsmės pabrėžia budrumo, vartotojų sąmoningumo ir sustiprintų saugumo priemonių svarbą, siekiant sumažinti besivystančių kibernetinių atakų keliamą riziką.
