Havoc pikšķerēšanas uzbrukums
Kiberdrošības izmeklētāji ir atklājuši jaunu pikšķerēšanas kampaņu, kas izmanto ClickFix tehniku, lai izvietotu Havoc — atvērtā koda komandu un kontroles (C2) sistēmu. Uzbrucēji gudri slēpj ļaunprogrammatūras posmus aiz SharePoint vietnes, izmantojot modificētu Havoc Demon versiju kopā ar Microsoft Graph API, lai slēptu saziņu likumīgos pakalpojumos.
Satura rādītājs
Pikšķerēšanas slazds: maldinošs e-pasts un ClickFix manipulācijas
Uzbrukumu aktivizē pikšķerēšanas e-pasts, kas satur HTML pielikumu ar nosaukumu Documents.html. Atverot failu, tiek parādīts kļūdas ziņojums, kas mudina upuri kopēt un izpildīt bojātu PowerShell komandu. Šis paņēmiens, kas pazīstams kā ClickFix, liek lietotājiem domāt, ka viņiem ir jānovērš OneDrive savienojuma problēma, manuāli atjauninot DNS kešatmiņu.
Ja mērķis ir viltīgs, viņi netīšām sāk inficēšanās procesu, palaižot PowerShell skriptu, kas izveido savienojumu ar uzbrucēja kontrolētu SharePoint serveri.
Daudzpakāpju ļaunprātīgas programmatūras izvietošana: no PowerShell uz Python
Kad nedrošs PowerShell skripts tiek izpildīts, tas vispirms pārbauda, vai vide ir smilškaste, lai izvairītos no atklāšanas. Ja tas tiek uzskatīts par drošu, skripts lejupielādē Python (“pythonw.exe”), ja tas vēl nav instalēts sistēmā.
No turienes otrais PowerShell skripts ienes un izpilda uz Python balstītu čaulas koda ielādētāju, kas pēc tam palaiž KaynLdr — atstarojošo ielādētāju, kas rakstīts C un Assembly valodā. Tas galu galā izvieto Havoc Demon aģentu apdraudētajā mašīnā.
Havoc spējas: slēpts kiberierocis
Uzbrucēji izmanto Havoc kopā ar Microsoft Graph API, lai slēptu C2 trafiku labi zināmos, uzticamos pakalpojumos. Havoc funkcijas ietver:
- Informācijas vākšana
- Failu darbības
- Komandas izpilde
- Kravas izpilde
- Žetonu manipulācija
- Kerberos uzbrukumi
Google reklāmas, kas tiek izmantotas PayPal lietotāju mērķauditorijai
Atsevišķā, taču satraucošā attīstībā kiberdrošības eksperti ir novērojuši arī draudu dalībniekus, kuri izmanto Google Ads politikas, lai PayPal lietotājus mērķētu ar krāpnieciskām reklāmām.
Šīs taktikas darbojas, uzdodoties par likumīgām PayPal atbalsta lapām un maldinot lietotājus zvanīt uz viltotu klientu apkalpošanas numuru. Mērķis ir apkopot upuru personisko un finanšu informāciju, pārliecinot viņus, ka viņi runā ar likumīgiem PayPal pārstāvjiem.
Google reklāmu nepilnības: krāpnieku rotaļu laukums
Šīs tehniskā atbalsta taktikas panākumi ir atkarīgi no Google Ads politikas nepilnībām, kas ļauj sliktiem dalībniekiem uzdoties par labi zināmiem zīmoliem. Kamēr galvenā lapa (gala URL) un redzamais URL atbilst vienam domēnam, krāpnieki var izveidot pārliecinošas viltus reklāmas.
Kibernoziedznieki ātri izmanto populārus meklēšanas vienumus, īpaši tos, kas saistīti ar klientu atbalstu un konta atkopšanu, nodrošinot, ka viņu krāpnieciskās reklāmas tiek rādītas meklēšanas rezultātu augšdaļā.
Secinājums: pieaugoša draudu ainava
Sākot ar ClickFix nodrošinātajām pikšķerēšanas kampaņām un beidzot ar Google Ads ļaunprātīgu izmantošanu, kibernoziedznieki nepārtraukti pilnveido savu sociālās inženierijas taktiku. Šie draudi uzsver modrības, lietotāju informētības un pastiprinātu drošības pasākumu nozīmi, lai mazinātu riskus, ko rada pieaugošie kiberuzbrukumi.
