Havoc phishing-angrep
Cybersecurity-etterforskere har avdekket en ny phishing-kampanje som utnytter ClickFix-teknikken for å distribuere Havoc, et åpen kildekode Command-and-Control (C2)-rammeverk. Angriperne skjuler på en smart måte skadevarestadier bak et SharePoint-nettsted, ved å bruke en modifisert versjon av Havoc Demon sammen med Microsoft Graph API for å skjule kommunikasjon innenfor legitime tjenester.
Innholdsfortegnelse
Phishing-fellen: en villedende e-post- og klikkrettingsmanipulasjon
Angrepet utløses av en phishing-e-post som inneholder et HTML-vedlegg kalt Documents.html. Når den åpnes, viser filen en feilmelding som manipulerer offeret til å kopiere og utføre en tuklet PowerShell-kommando. Denne teknikken, kjent som ClickFix, lurer brukere til å tro at de trenger å fikse et OneDrive-tilkoblingsproblem ved å manuelt oppdatere DNS-cachen deres.
Hvis målet faller for trikset, starter de utilsiktet infeksjonsprosessen ved å kjøre et PowerShell-skript som kobles til en angriperkontrollert SharePoint-server.
Multi-Stage Malware Deployment: Fra PowerShell til Python
Når det usikre PowerShell-skriptet kjøres, sjekker det først om miljøet er satt i sandkasse for å unngå gjenkjenning. Hvis det anses som trygt, fortsetter skriptet med å laste ned Python ('pythonw.exe') hvis det ikke allerede er installert på systemet.
Derfra henter og kjører et andre PowerShell-skript en Python-basert shellcode-laster, som deretter starter KaynLdr, en reflekterende laster skrevet i C og Assembly. Dette distribuerer til slutt Havoc Demon-agenten på den kompromitterte maskinen.
Havoc’s Capabilities: Et snikende cybervåpen
Angriperne bruker Havoc sammen med Microsoft Graph API for å skjule C2-trafikk innenfor velkjente, pålitelige tjenester. Havocs funksjoner inkluderer:
- Informasjonsinnhenting
- Filoperasjoner
- Kommandoutførelse
- Utførelse av nyttelast
- Token manipulasjon
- Kerberos angrep
Google-annonser utnyttet til å målrette PayPal-brukere
I en separat, men likevel alarmerende utvikling, har cybersikkerhetseksperter også observert trusselaktører som utnytter Google Ads-retningslinjene for å målrette PayPal-brukere med falske annonser.
Disse taktikkene fungerer ved å utgi seg for legitime PayPal-støttesider og lure brukere til å ringe et falskt kundeservicenummer. Målet er å samle inn ofrenes personlige og økonomiske opplysninger ved å overbevise dem om at de snakker med legitime PayPal-representanter.
Google Advertisements Loophole: A Playground for Fraudsters
Suksessen til disse tekniske støttetaktikkene avhenger av et smutthull i Google Ads-retningslinjene, som lar dårlige skuespillere utgi seg for kjente merkevarer. Så lenge landingssiden (endelig URL) og visningsadressen samsvarer med samme domene, kan svindlere lage overbevisende falske annonser.
Nettkriminelle er raske til å utnytte populære søkeord, spesielt de som er relatert til kundestøtte og kontogjenoppretting, og sikrer at deres falske annonser vises øverst i søkeresultatene.
Konklusjon: Et stigende trussellandskap
Fra ClickFix-drevne phishing-kampanjer til Google Ads-misbruk, cyberkriminelle finpusser kontinuerlig taktikken sin for sosial ingeniørkunst. Disse truslene fremhever viktigheten av årvåkenhet, brukerbevissthet og forbedrede sikkerhetstiltak for å redusere risikoen som utvikles av cyberangrep.
