Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing Havoc Phishing-aanval

Havoc Phishing-aanval

Tegen Mezo in Phishing, Malware
Vertalen naar:
Nederlands

Cybersecurity-onderzoekers hebben een nieuwe phishingcampagne ontdekt die gebruikmaakt van de ClickFix-techniek om Havoc te implementeren, een open-source Command-and-Control (C2)-framework. De aanvallers verbergen malware-fasen slim achter een SharePoint-site, waarbij ze een aangepaste versie van de Havoc Demon gebruiken, samen met de Microsoft Graph API, om communicatie binnen legitieme services te verhullen.

De phishingval: een misleidende e-mail en ClickFix-manipulatie

De aanval wordt geactiveerd door een phishing-e-mail met een HTML-bijlage genaamd Documents.html. Wanneer het bestand wordt geopend, geeft het een foutmelding weer die het slachtoffer manipuleert om een gemanipuleerde PowerShell-opdracht te kopiëren en uit te voeren. Deze techniek, bekend als ClickFix, misleidt gebruikers door ze te laten geloven dat ze een OneDrive-verbindingsprobleem moeten oplossen door hun DNS-cache handmatig bij te werken.

Als het doelwit hierin trapt, start hij of zij onbedoeld het infectieproces door een PowerShell-script uit te voeren dat verbinding maakt met een door de aanvaller beheerde SharePoint-server.

Implementatie van malware in meerdere fasen: van PowerShell tot Python

Zodra het onveilige PowerShell-script wordt uitgevoerd, controleert het eerst of de omgeving is gesandboxed om detectie te ontwijken. Als het veilig wordt geacht, gaat het script verder met het downloaden van Python ('pythonw.exe') als het nog niet op het systeem is geïnstalleerd.

Vanaf daar haalt een tweede PowerShell-script een op Python gebaseerde shellcode-loader op en voert deze uit, die vervolgens KaynLdr start, een reflectieve loader geschreven in C en Assembly. Dit implementeert uiteindelijk de Havoc Demon-agent op de gecompromitteerde machine.

De mogelijkheden van Havoc: een stealth cyberwapen

De aanvallers gebruiken Havoc in combinatie met de Microsoft Graph API om C2-verkeer binnen bekende, vertrouwde services te verbergen. De functionaliteiten van Havoc omvatten:

  • Informatie verzamelen
  • Bestandsbewerkingen
  • Opdrachtuitvoering
  • Payload-uitvoering
  • Tokenmanipulatie
  • Kerberos-aanvallen

Google-advertenties misbruikt om PayPal-gebruikers te targeten

In een andere, maar toch alarmerende ontwikkeling hebben cybersecurity-experts ook waargenomen dat cybercriminelen misbruik maken van het beleid van Google Ads om PayPal-gebruikers te targeten met frauduleuze advertenties.

Deze tactieken werken door legitieme PayPal-ondersteuningspagina's na te bootsen en gebruikers te misleiden om een nep-klantenservicenummer te bellen. Het doel is om persoonlijke en financiële informatie van slachtoffers te verzamelen door hen ervan te overtuigen dat ze met legitieme PayPal-vertegenwoordigers praten.

Google Advertenties Mazen: Een Speeltuin voor Fraudeurs

Het succes van deze technische supporttactieken hangt af van een maas in het beleid van Google Ads, waardoor kwaadwillenden bekende merken kunnen imiteren. Zolang de landingspagina (eind-URL) en de weergave-URL overeenkomen met hetzelfde domein, kunnen fraudeurs overtuigende nepadvertenties maken.

Cybercriminelen maken snel gebruik van populaire zoektermen, vooral als het gaat om klantenondersteuning en accountherstel. Ze zorgen er dan ook voor dat hun frauduleuze advertenties bovenaan de zoekresultaten verschijnen.

Conclusie: een toenemend dreigingslandschap

Van ClickFix-aangedreven phishingcampagnes tot misbruik van Google Ads, cybercriminelen verfijnen voortdurend hun social engineering-tactieken. Deze bedreigingen benadrukken het belang van waakzaamheid, gebruikersbewustzijn en verbeterde beveiligingsmaatregelen om de risico's van evoluerende cyberaanvallen te beperken.

Trending

Meest bekeken

Bezig met laden...