Atac de phishing Havoc

Anchetatorii de securitate cibernetică au descoperit o nouă campanie de phishing care folosește tehnica ClickFix pentru a implementa Havoc, un cadru de comandă și control (C2) open-source. Atacatorii ascund în mod inteligent etapele de malware din spatele unui site SharePoint, utilizând o versiune modificată a Havoc Demon împreună cu API-ul Microsoft Graph pentru a masca comunicațiile în cadrul serviciilor legitime.

Capcana pentru phishing: un e-mail înșelător și manipulare ClickFix

Atacul este declanșat de un e-mail de phishing care conține un atașament HTML numit Documents.html. Când este deschis, fișierul afișează un mesaj de eroare care manipulează victima să copieze și să execute o comandă PowerShell manipulată. Această tehnică, cunoscută sub numele de ClickFix, îi face pe utilizatori să creadă că trebuie să remedieze o problemă de conexiune OneDrive actualizându-și manual memoria cache DNS.

Dacă ținta se încadrează, ei inițiază din neatenție procesul de infecție prin rularea unui script PowerShell care se conectează la un server SharePoint controlat de atacator.

Implementarea programelor malware în mai multe etape: de la PowerShell la Python

Odată ce scriptul PowerShell nesigur se execută, acesta verifică mai întâi dacă mediul este izolat pentru a evita detectarea. Dacă este considerat sigur, scriptul continuă să descarce Python („pythonw.exe”) dacă nu a fost deja instalat pe sistem.

De acolo, un al doilea script PowerShell preia și execută un încărcător shellcode bazat pe Python, care lansează apoi KaynLdr, un încărcător reflectorizant scris în C și Assembly. Aceasta implementează în cele din urmă agentul Havoc Demon pe mașina compromisă.

Capabilitățile Havoc: O armă cibernetică ascunsă

Atacatorii folosesc Havoc în tandem cu Microsoft Graph API pentru a ascunde traficul C2 în cadrul unor servicii binecunoscute și de încredere. Funcționalitățile Havoc includ:

• Colectarea de informații
• Operațiuni cu fișiere
• Executarea comenzii
• Execuția sarcinii utile
• Manipularea jetoanelor
• Atacurile Kerberos

Reclame Google exploatate pentru a viza utilizatorii PayPal

Într-o dezvoltare separată, dar alarmantă, experții în securitate cibernetică au observat, de asemenea, actori de amenințări care exploatează politicile Google Ads pentru a viza utilizatorii PayPal cu reclame frauduloase.

Aceste tactici funcționează prin uzurparea identității paginilor de asistență PayPal legitime și păcălirea utilizatorilor să apeleze un număr fals al serviciului pentru clienți. Scopul este de a colecta informații personale și financiare ale victimelor, convingându-le că vorbesc cu reprezentanții legitimi PayPal.

Lacună în reclamele Google: un teren de joacă pentru fraudatori

Succesul acestor tactici de asistență tehnică depinde de o lacună în politicile Google Ads, care le permite actorilor răi să uzurpare identitatea unor mărci cunoscute. Atâta timp cât pagina de destinație (adresa URL finală) și adresa URL afișată corespund aceluiași domeniu, fraudatorii pot crea reclame false convingătoare.

Infractorii cibernetici exploatează rapid termenii de căutare populari, în special cei care țin de asistența pentru clienți și recuperarea contului, asigurându-se că anunțurile lor frauduloase apar în partea de sus a rezultatelor căutării.

Concluzie: Un peisaj de amenințare în creștere

De la campaniile de phishing bazate pe ClickFix până la abuzul Google Ads, infractorii cibernetici își perfecționează continuu tacticile de inginerie socială. Aceste amenințări evidențiază importanța vigilenței, a conștientizării utilizatorilor și a măsurilor de securitate îmbunătățite pentru a atenua riscurile prezentate de atacurile cibernetice în evoluție.