Havoc Phishing Attack

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੀਂ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਹੈਵੋਕ, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਫਰੇਮਵਰਕ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਕਲਿਕਫਿਕਸ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਹਮਲਾਵਰ ਚਲਾਕੀ ਨਾਲ ਇੱਕ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਾਈਟ ਦੇ ਪਿੱਛੇ ਮਾਲਵੇਅਰ ਪੜਾਵਾਂ ਨੂੰ ਛੁਪਾਉਂਦੇ ਹਨ, ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੇ ਅੰਦਰ ਸੰਚਾਰ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗ੍ਰਾਫ API ਦੇ ਨਾਲ ਹੈਵੋਕ ਡੈਮਨ ਦੇ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਫਿਸ਼ਿੰਗ ਜਾਲ: ਇੱਕ ਧੋਖੇਬਾਜ਼ ਈਮੇਲ ਅਤੇ ਕਲਿੱਕਫਿਕਸ ਹੇਰਾਫੇਰੀ

ਇਹ ਹਮਲਾ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ Documents.html ਨਾਮ ਦਾ ਇੱਕ HTML ਅਟੈਚਮੈਂਟ ਹੁੰਦਾ ਹੈ। ਜਦੋਂ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਫਾਈਲ ਇੱਕ ਗਲਤੀ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀ ਹੈ ਜੋ ਪੀੜਤ ਨੂੰ ਇੱਕ ਛੇੜਛਾੜ ਕੀਤੀ PowerShell ਕਮਾਂਡ ਦੀ ਨਕਲ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਹੇਰਾਫੇਰੀ ਕਰਦੀ ਹੈ। ਇਹ ਤਕਨੀਕ, ਜਿਸਨੂੰ ClickFix ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਦਿਵਾਉਣ ਲਈ ਭਰਮਾਉਂਦੀ ਹੈ ਕਿ ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ DNS ਕੈਸ਼ ਨੂੰ ਹੱਥੀਂ ਅੱਪਡੇਟ ਕਰਕੇ OneDrive ਕਨੈਕਸ਼ਨ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਜੇਕਰ ਨਿਸ਼ਾਨਾ ਇਸ ਚਾਲ ਵਿੱਚ ਫਸ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਹ ਅਣਜਾਣੇ ਵਿੱਚ ਇੱਕ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟ ਚਲਾ ਕੇ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ ਜੋ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਰਵਰ ਨਾਲ ਜੁੜਦੀ ਹੈ।

ਮਲਟੀ-ਸਟੇਜ ਮਾਲਵੇਅਰ ਡਿਪਲਾਇਮੈਂਟ: ਪਾਵਰਸ਼ੈਲ ਤੋਂ ਪਾਈਥਨ ਤੱਕ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਅਸੁਰੱਖਿਅਤ PowerShell ਸਕ੍ਰਿਪਟ ਚੱਲਦੀ ਹੈ, ਤਾਂ ਇਹ ਪਹਿਲਾਂ ਜਾਂਚ ਕਰਦੀ ਹੈ ਕਿ ਕੀ ਵਾਤਾਵਰਣ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸੈਂਡਬੌਕਸਡ ਹੈ। ਜੇਕਰ ਸੁਰੱਖਿਅਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਕ੍ਰਿਪਟ ਪਾਈਥਨ ('pythonw.exe') ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੀ ਹੈ ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਸਿਸਟਮ 'ਤੇ ਸਥਾਪਤ ਨਹੀਂ ਹੈ।

ਉੱਥੋਂ, ਇੱਕ ਦੂਜੀ PowerShell ਸਕ੍ਰਿਪਟ ਇੱਕ Python-ਅਧਾਰਿਤ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਚਲਾਉਂਦੀ ਹੈ, ਜੋ ਫਿਰ KaynLdr ਨੂੰ ਲਾਂਚ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ C ਅਤੇ ਅਸੈਂਬਲੀ ਵਿੱਚ ਲਿਖਿਆ ਇੱਕ ਰਿਫਲੈਕਟਿਵ ਲੋਡਰ ਹੈ। ਇਹ ਅੰਤ ਵਿੱਚ ਹੈਵੋਕ ਡੈਮਨ ਏਜੰਟ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੀ ਮਸ਼ੀਨ 'ਤੇ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਹੈਵੋਕ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ: ਇੱਕ ਗੁਪਤ ਸਾਈਬਰ ਹਥਿਆਰ

ਹਮਲਾਵਰ ਮਸ਼ਹੂਰ, ਭਰੋਸੇਮੰਦ ਸੇਵਾਵਾਂ ਦੇ ਅੰਦਰ C2 ਟ੍ਰੈਫਿਕ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗ੍ਰਾਫ API ਦੇ ਨਾਲ ਮਿਲ ਕੇ Havoc ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। Havoc ਦੀਆਂ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ
• ਫਾਈਲ ਓਪਰੇਸ਼ਨ
• ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਟੋਕਨ ਹੇਰਾਫੇਰੀ
• ਕਰਬੇਰੋਸ ਹਮਲੇ

ਪੇਪਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਗੂਗਲ ਇਸ਼ਤਿਹਾਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ

ਇੱਕ ਵੱਖਰੇ ਪਰ ਚਿੰਤਾਜਨਕ ਵਿਕਾਸ ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਇਹ ਵੀ ਦੇਖਿਆ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਲੋਕ ਧੋਖਾਧੜੀ ਵਾਲੇ ਇਸ਼ਤਿਹਾਰਾਂ ਨਾਲ PayPal ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ Google Ads ਨੀਤੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ।

ਇਹ ਜੁਗਤਾਂ ਜਾਇਜ਼ PayPal ਸਹਾਇਤਾ ਪੰਨਿਆਂ ਦੀ ਨਕਲ ਕਰਕੇ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਜਾਅਲੀ ਗਾਹਕ ਸੇਵਾ ਨੰਬਰ 'ਤੇ ਕਾਲ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇ ਕੇ ਕੰਮ ਕਰਦੀਆਂ ਹਨ। ਟੀਚਾ ਪੀੜਤਾਂ ਦੀ ਨਿੱਜੀ ਅਤੇ ਵਿੱਤੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਯਕੀਨ ਦਿਵਾ ਕੇ ਕਿ ਉਹ ਜਾਇਜ਼ PayPal ਪ੍ਰਤੀਨਿਧੀਆਂ ਨਾਲ ਗੱਲ ਕਰ ਰਹੇ ਹਨ।

ਗੂਗਲ ਇਸ਼ਤਿਹਾਰਾਂ ਦੀ ਖਾਮੀ: ਧੋਖੇਬਾਜ਼ਾਂ ਲਈ ਇੱਕ ਖੇਡ ਦਾ ਮੈਦਾਨ

ਇਹਨਾਂ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਰਣਨੀਤੀਆਂ ਦੀ ਸਫਲਤਾ Google Ads ਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਖਾਮੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ, ਜੋ ਬੁਰੇ ਕਲਾਕਾਰਾਂ ਨੂੰ ਮਸ਼ਹੂਰ ਬ੍ਰਾਂਡਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਜਿੰਨਾ ਚਿਰ ਲੈਂਡਿੰਗ ਪੇਜ (ਅੰਤਿਮ URL) ਅਤੇ ਡਿਸਪਲੇ URL ਇੱਕੋ ਡੋਮੇਨ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ, ਧੋਖਾਧੜੀ ਕਰਨ ਵਾਲੇ ਜਾਅਲੀ ਇਸ਼ਤਿਹਾਰ ਬਣਾ ਸਕਦੇ ਹਨ।

ਸਾਈਬਰ ਅਪਰਾਧੀ ਪ੍ਰਸਿੱਧ ਖੋਜ ਸ਼ਬਦਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤੇਜ਼ ਹੁੰਦੇ ਹਨ, ਖਾਸ ਕਰਕੇ ਗਾਹਕ ਸਹਾਇਤਾ ਅਤੇ ਖਾਤਾ ਰਿਕਵਰੀ ਨਾਲ ਸਬੰਧਤ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਉਨ੍ਹਾਂ ਦੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਵਿਗਿਆਪਨ ਖੋਜ ਨਤੀਜਿਆਂ ਦੇ ਸਿਖਰ 'ਤੇ ਦਿਖਾਈ ਦੇਣ।

ਸਿੱਟਾ: ਇੱਕ ਵਧਦਾ ਖ਼ਤਰਾ ਦ੍ਰਿਸ਼

ਕਲਿਕਫਿਕਸ-ਸੰਚਾਲਿਤ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਤੋਂ ਲੈ ਕੇ ਗੂਗਲ ਇਸ਼ਤਿਹਾਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਤੱਕ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਪਣੀਆਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰ ਰਹੇ ਹਨ। ਇਹ ਧਮਕੀਆਂ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਚੌਕਸੀ, ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਅਤੇ ਵਧੇ ਹੋਏ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ।