Havoc Phishing Attack
Os investigadores de segurança cibernética descobriram uma nova campanha de phishing que aproveita a técnica ClickFix para implantar o Havoc, uma estrutura de Comando e Controle (C2) de código aberto. Os invasores ocultam habilmente estágios de malware atrás de um site do SharePoint, utilizando uma versão modificada do Havoc Demon junto com a API do Microsoft Graph para disfarçar comunicações dentro de serviços legítimos.
Índice
A Armadilha de Phishing: Um E-Mail Enganoso e a Manipulação do ClickFix
O ataque é acionado por um e-mail de phishing que contém um anexo HTML chamado Documents.html. Quando aberto, o arquivo exibe uma mensagem de erro que manipula a vítima para copiar e executar um comando PowerShell adulterado. Essa técnica, conhecida como ClickFix, engana os usuários fazendo-os acreditar que precisam corrigir um problema de conexão do OneDrive atualizando manualmente seu cache DNS.
Se o alvo cair no truque, ele inadvertidamente inicia o processo de infecção executando um script do PowerShell que se conecta a um servidor SharePoint controlado pelo invasor.
Implantação de Malware em Vários Estágios: Do PowerShell ao Python
Depois que o script inseguro do PowerShell é executado, ele primeiro verifica se o ambiente está em sandbox para evitar a detecção. Se for considerado seguro, o script prossegue para baixar o Python ('pythonw.exe') se ele ainda não tiver sido instalado no sistema.
A partir daí, um segundo script do PowerShell busca e executa um carregador de shellcode baseado em Python, que então inicia o KaynLdr, um carregador reflexivo escrito em C e Assembly. Isso, por fim, implanta o agente Havoc Demon na máquina comprometida.
As Capacidades do Havoc: Uma Arma Cibernética Furtiva
Os invasores usam o Havoc em conjunto com a API do Microsoft Graph para ocultar o tráfego C2 dentro de serviços conhecidos e confiáveis. As funcionalidades do Havoc incluem:
- Coleta de informações
- Operações de arquivo
- Execução de comando
- Execução de carga útil
- Manipulação de tokens
- Ataques Kerberos
Os Anúncios do Google são Explorados para Atingir os Usuários do PayPal
Em um acontecimento separado, porém alarmante, especialistas em segurança cibernética também observaram agentes de ameaças explorando as políticas do Google Ads para atingir usuários do PayPal com anúncios fraudulentos.
Essas táticas funcionam personificando páginas legítimas de suporte do PayPal e enganando os usuários para que liguem para um número falso de atendimento ao cliente. O objetivo é coletar informações pessoais e financeiras das vítimas convencendo-as de que estão falando com representantes legítimos do PayPal.
A Brecha nos Anúncios do Google: Um Parque de Diversões para os Fraudadores
O sucesso dessas táticas de suporte técnico depende de uma brecha nas políticas do Google Ads, que permite que atores mal-intencionados personifiquem marcas bem conhecidas. Desde que a landing page (URL final) e a URL de exibição correspondam ao mesmo domínio, os fraudadores podem criar anúncios falsos convincentes.
Os cibercriminosos são rápidos em explorar termos de pesquisa populares, especialmente aqueles relacionados ao suporte ao cliente e recuperação de conta, garantindo que seus anúncios fraudulentos apareçam no topo dos resultados de pesquisa.
Conclusão: Um Cenário de Ameaças Crescentes
Das campanhas de phishing com tecnologia ClickFix ao abuso do Google Ads, os cibercriminosos estão continuamente refinando suas táticas de engenharia social. Essas ameaças destacam a importância da vigilância, conscientização do usuário e medidas de segurança aprimoradas para mitigar os riscos impostos pelos ciberataques em evolução.
