Фишинговая атака Havoc
Следователи по кибербезопасности раскрыли новую фишинговую кампанию, которая использует технику ClickFix для развертывания Havoc, фреймворка Command-and-Control (C2) с открытым исходным кодом. Злоумышленники умело скрывают этапы вредоносного ПО за сайтом SharePoint, используя модифицированную версию Havoc Demon вместе с API Microsoft Graph для маскировки коммуникаций в рамках легитимных служб.
Оглавление
Фишинговая ловушка: обманное электронное письмо и манипуляции ClickFix
Атака инициируется фишинговым письмом, содержащим HTML-вложение с именем Documents.html. При открытии файла отображается сообщение об ошибке, которое заставляет жертву скопировать и выполнить поддельную команду PowerShell. Этот прием, известный как ClickFix, обманывает пользователей, заставляя их поверить, что им нужно исправить проблему с подключением OneDrive, вручную обновив свой кэш DNS.
Если жертва попадается на уловку, она непреднамеренно инициирует процесс заражения, запуская скрипт PowerShell, который подключается к контролируемому злоумышленником серверу SharePoint.
Многоэтапное развертывание вредоносного ПО: от PowerShell до Python
После выполнения небезопасного скрипта PowerShell он сначала проверяет, находится ли среда в песочнице, чтобы избежать обнаружения. Если скрипт признан безопасным, он приступает к загрузке Python ('pythonw.exe'), если он еще не установлен в системе.
Оттуда второй скрипт PowerShell извлекает и выполняет загрузчик шеллкода на основе Python, который затем запускает KaynLdr, рефлексивный загрузчик, написанный на C и Assembly. Это в конечном итоге развертывает агента Havoc Demon на скомпрометированной машине.
Возможности Havoc: скрытное кибероружие
Атакующие используют Havoc в тандеме с Microsoft Graph API для сокрытия трафика C2 в известных, доверенных сервисах. Функциональность Havoc включает:
- Сбор информации
- Операции с файлами
- Выполнение команды
- Выполнение полезной нагрузки
- Манипулирование токенами
- Атаки Kerberos
Реклама Google используется для привлечения пользователей PayPal
В другом тревожном событии эксперты по кибербезопасности также заметили, что злоумышленники используют политику Google Ads для показа пользователям PayPal мошеннической рекламы.
Эти тактики работают, выдавая себя за настоящие страницы поддержки PayPal и обманывая пользователей, заставляя их звонить по поддельному номеру службы поддержки клиентов. Цель состоит в том, чтобы собрать личную и финансовую информацию жертв, убедив их, что они говорят с настоящими представителями PayPal.
Лазейка в рекламе Google: игровая площадка для мошенников
Успех этих тактик технической поддержки зависит от лазейки в политике Google Ads, которая позволяет мошенникам выдавать себя за известные бренды. Пока целевая страница (конечный URL) и отображаемый URL соответствуют одному домену, мошенники могут создавать убедительные поддельные рекламные объявления.
Киберпреступники быстро используют популярные поисковые запросы, особенно те, которые связаны со службой поддержки клиентов и восстановлением аккаунтов, обеспечивая появление своих мошеннических объявлений в верхней части результатов поиска.
Заключение: Растущая угроза
От фишинговых кампаний с использованием ClickFix до злоупотреблений Google Ads, киберпреступники постоянно совершенствуют свои тактики социальной инженерии. Эти угрозы подчеркивают важность бдительности, осведомленности пользователей и усиленных мер безопасности для снижения рисков, связанных с развивающимися кибератаками.
