Havoc Phishing Attack
Penyiasat keselamatan siber telah menemui kempen pancingan data baharu yang memanfaatkan teknik ClickFix untuk menggunakan Havoc, rangka kerja Command-and-Control (C2) sumber terbuka. Penyerang dengan bijak menyembunyikan peringkat perisian hasad di sebalik tapak SharePoint, menggunakan versi diubah suai Havoc Demon bersama-sama dengan Microsoft Graph API untuk menyamarkan komunikasi dalam perkhidmatan yang sah.
Isi kandungan
Perangkap Phishing: E-mel yang Menipu dan Manipulasi ClickFix
Serangan itu dicetuskan oleh e-mel pancingan data yang mengandungi lampiran HTML bernama Documents.html. Apabila dibuka, fail memaparkan mesej ralat yang memanipulasi mangsa untuk menyalin dan melaksanakan perintah PowerShell yang diusik. Teknik ini, yang dikenali sebagai ClickFix, menipu pengguna supaya mempercayai bahawa mereka perlu menyelesaikan isu sambungan OneDrive dengan mengemas kini cache DNS mereka secara manual.
Jika sasaran jatuh untuk helah, mereka secara tidak sengaja memulakan proses jangkitan dengan menjalankan skrip PowerShell yang bersambung ke pelayan SharePoint yang dikawal oleh penyerang.
Penyebaran Perisian Hasad Berbilang Peringkat: Daripada PowerShell kepada Python
Setelah skrip PowerShell yang tidak selamat dilaksanakan, ia mula-mula menyemak sama ada persekitaran dikotak pasir untuk mengelakkan pengesanan. Jika dianggap selamat, skrip meneruskan untuk memuat turun Python ('pythonw.exe') jika ia belum dipasang pada sistem.
Dari sana, skrip PowerShell kedua mengambil dan melaksanakan pemuat kod shell berasaskan Python, yang kemudiannya melancarkan KaynLdr, pemuat reflektif yang ditulis dalam C dan Assembly. Ini akhirnya menggunakan ejen Havoc Demon pada mesin yang terjejas.
Keupayaan Havoc: Senjata Siber Senyap
Penyerang menggunakan Havoc seiring dengan Microsoft Graph API untuk menyembunyikan trafik C2 dalam perkhidmatan yang terkenal dan dipercayai. Fungsi Havoc termasuk:
- Pengumpulan maklumat
- Operasi fail
- Pelaksanaan perintah
- Pelaksanaan muatan
- Manipulasi token
- serangan Kerberos
Iklan Google Dieksploitasi untuk Menyasarkan Pengguna PayPal
Dalam perkembangan yang berasingan lagi membimbangkan, pakar keselamatan siber turut memerhatikan pelaku ancaman yang mengeksploitasi dasar Google Ads untuk menyasarkan pengguna PayPal dengan iklan penipuan.
Taktik ini berfungsi dengan menyamar sebagai halaman sokongan PayPal yang sah dan menipu pengguna untuk menghubungi nombor perkhidmatan pelanggan palsu. Matlamatnya adalah untuk mengumpul maklumat peribadi dan kewangan mangsa dengan meyakinkan mereka bahawa mereka bercakap dengan wakil PayPal yang sah.
Loophole Iklan Google: Taman Permainan untuk Penipu
Kejayaan taktik sokongan teknikal ini bergantung pada kelemahan dalam dasar Google Ads, yang membenarkan pelakon jahat menyamar sebagai jenama terkenal. Selagi halaman pendaratan (URL akhir) dan URL paparan sepadan dengan domain yang sama, penipu boleh membuat iklan palsu yang meyakinkan.
Penjenayah siber pantas mengeksploitasi istilah carian popular, terutamanya yang berkaitan dengan sokongan pelanggan dan pemulihan akaun, memastikan iklan penipuan mereka muncul di bahagian atas hasil carian.
Kesimpulan: Landskap Ancaman Meningkat
Daripada kempen pancingan data yang dikuasakan ClickFix kepada penyalahgunaan Google Ads, penjenayah siber terus memperhalusi taktik kejuruteraan sosial mereka. Ancaman ini menyerlahkan kepentingan kewaspadaan, kesedaran pengguna dan langkah keselamatan yang dipertingkatkan untuk mengurangkan risiko yang ditimbulkan oleh serangan siber yang berkembang.
