Atak phishingowy Havoc
Badacze cyberbezpieczeństwa odkryli nową kampanię phishingową, która wykorzystuje technikę ClickFix do wdrożenia Havoc, struktury Command-and-Control (C2) typu open source. Atakujący sprytnie ukrywają etapy złośliwego oprogramowania za witryną SharePoint, wykorzystując zmodyfikowaną wersję Havoc Demon wraz z interfejsem API Microsoft Graph, aby ukryć komunikację w ramach legalnych usług.
Spis treści
Pułapka phishingu: oszukańczy e-mail i manipulacja ClickFix
Atak jest wywoływany przez e-mail phishingowy zawierający załącznik HTML o nazwie Documents.html. Po otwarciu pliku wyświetla się komunikat o błędzie, który manipuluje ofiarą, aby skopiowała i wykonała zmodyfikowane polecenie programu PowerShell. Ta technika, znana jako ClickFix, oszukuje użytkowników, aby uwierzyli, że muszą naprawić problem z połączeniem OneDrive, ręcznie aktualizując pamięć podręczną DNS.
Jeśli ofiara da się nabrać na ten podstęp, nieświadomie zainicjuje proces infekcji, uruchamiając skrypt programu PowerShell, który łączy się z kontrolowanym przez atakującego serwerem SharePoint.
Wieloetapowe wdrażanie złośliwego oprogramowania: od PowerShell do Pythona
Po uruchomieniu niebezpiecznego skryptu PowerShell najpierw sprawdza, czy środowisko jest w trybie sandbox, aby uniknąć wykrycia. Jeśli zostanie uznane za bezpieczne, skrypt kontynuuje pobieranie Pythona („pythonw.exe”), jeśli nie został on jeszcze zainstalowany w systemie.
Stamtąd drugi skrypt PowerShell pobiera i uruchamia oparty na Pythonie program ładujący shellcode, który następnie uruchamia KaynLdr, refleksyjny program ładujący napisany w C i Assembly. To ostatecznie wdraża agenta Havoc Demon na zainfekowanej maszynie.
Możliwości Havoc: ukryta broń cybernetyczna
Atakujący używają Havoc w połączeniu z Microsoft Graph API, aby ukryć ruch C2 w znanych, zaufanych usługach. Funkcjonalności Havoc obejmują:
- Zbieranie informacji
- Operacje na plikach
- Wykonywanie polecenia
- Wykonanie ładunku
- Manipulacja tokenami
- Ataki Kerberos
Reklamy Google wykorzystywane do kierowania reklam do użytkowników PayPal
W odrębnym, ale niepokojącym wydarzeniu eksperci ds. cyberbezpieczeństwa zaobserwowali również, że cyberprzestępcy wykorzystują zasady Google Ads do kierowania fałszywych reklam do użytkowników serwisu PayPal.
Taktyki te działają poprzez podszywanie się pod legalne strony pomocy technicznej PayPal i nakłanianie użytkowników do dzwonienia pod fałszywy numer obsługi klienta. Celem jest zebranie danych osobowych i finansowych ofiar poprzez przekonanie ich, że rozmawiają z legalnymi przedstawicielami PayPal.
Luka w reklamach Google: plac zabaw dla oszustów
Sukces tych taktyk pomocy technicznej opiera się na luce w zasadach Google Ads, która pozwala złym aktorom podszywać się pod znane marki. Dopóki strona docelowa (końcowy adres URL) i wyświetlany adres URL pasują do tej samej domeny, oszuści mogą tworzyć przekonujące fałszywe reklamy.
Cyberprzestępcy szybko wykorzystują popularne hasła wyszukiwawcze, zwłaszcza te związane z obsługą klienta i odzyskiwaniem konta, aby ich oszukańcze reklamy pojawiały się na górze wyników wyszukiwania.
Wnioski: Rosnący krajobraz zagrożeń
Od kampanii phishingowych obsługiwanych przez ClickFix po nadużycia Google Ads, cyberprzestępcy nieustannie udoskonalają swoje taktyki inżynierii społecznej. Te zagrożenia podkreślają znaczenie czujności, świadomości użytkowników i ulepszonych środków bezpieczeństwa w celu złagodzenia ryzyka stwarzanego przez rozwijające się cyberataki.
