Havoc Phishing Attack
Vyšetrovatelia kybernetickej bezpečnosti odhalili novú phishingovú kampaň, ktorá využíva techniku ClickFix na nasadenie Havoc, open source rámca Command-and-Control (C2). Útočníci šikovne skrývajú štádiá malvéru za lokalitou SharePoint, pričom využívajú upravenú verziu Havoc Demon spolu s Microsoft Graph API na zakrytie komunikácie v rámci legitímnych služieb.
Obsah
Pasca na neoprávnené získavanie údajov: podvodný e-mail a manipulácia ClickFix
Útok je vyvolaný phishingovým e-mailom, ktorý obsahuje prílohu HTML s názvom Documents.html. Po otvorení súboru sa zobrazí chybové hlásenie, ktoré obeť zmanipuluje tak, aby skopírovala a vykonala sfalšovaný príkaz PowerShell. Táto technika, známa ako ClickFix, navádza používateľov, aby uverili, že potrebujú vyriešiť problém s pripojením OneDrive manuálnou aktualizáciou vyrovnávacej pamäte DNS.
Ak cieľ prepadne triku, neúmyselne spustia proces infekcie spustením skriptu PowerShell, ktorý sa pripája k serveru SharePoint kontrolovanému útočníkom.
Viacstupňové nasadenie malvéru: Od PowerShellu po Python
Po spustení nebezpečného skriptu PowerShell najprv skontroluje, či je prostredie izolované, aby sa vyhlo detekcii. Ak sa to považuje za bezpečné, skript pokračuje v sťahovaní Pythonu ('pythonw.exe'), ak ešte nebol nainštalovaný v systéme.
Odtiaľ druhý skript PowerShell načíta a spustí zavádzač shell kódu založený na Pythone, ktorý potom spustí KaynLdr, reflexný zavádzač napísaný v jazyku C a Assembly. To nakoniec nasadí agenta Havoc Demon na napadnutý počítač.
Havoc's Capabilities: Tajná kybernetická zbraň
Útočníci používajú Havoc v tandeme s Microsoft Graph API na ukrytie C2 prevádzky v rámci známych dôveryhodných služieb. Funkcie Havoc zahŕňajú:
- Zhromažďovanie informácií
- Operácie so súbormi
- Vykonanie príkazu
- Realizácia užitočného zaťaženia
- Manipulácia so žetónmi
- Kerberos útočí
Reklamy Google využívané na zacielenie na používateľov PayPal
V samostatnom, no alarmujúcom vývoji, experti na kybernetickú bezpečnosť tiež spozorovali, že aktéri hrozieb zneužívajú pravidlá služby Google Ads na zacielenie podvodných reklám na používateľov PayPal.
Tieto taktiky fungujú tak, že sa vydávajú za legitímne stránky podpory PayPal a oklamú používateľov, aby zavolali na falošné číslo zákazníckeho servisu. Cieľom je zhromaždiť osobné a finančné informácie obetí tým, že ich presvedčíte, že hovoria s legitímnymi zástupcami PayPal.
Medzera v inzercii Google: Ihrisko pre podvodníkov
Úspech týchto taktík technickej podpory závisí od medzery v pravidlách služby Google Ads, ktorá umožňuje zlým hráčom vydávať sa za známe značky. Ak sa vstupná stránka (cieľová adresa URL) a zobrazená adresa URL zhodujú s tou istou doménou, podvodníci môžu vytvárať presvedčivé falošné reklamy.
Kyberzločinci rýchlo využívajú populárne hľadané výrazy, najmä tie, ktoré súvisia so zákazníckou podporou a obnovením účtu, čím zaisťujú, že ich podvodné reklamy sa zobrazia v hornej časti výsledkov vyhľadávania.
Záver: Krajina rastúcej hrozby
Kyberzločinci neustále zdokonaľujú svoje taktiky sociálneho inžinierstva, od phishingových kampaní založených na ClickFix až po zneužívanie služby Google Ads. Tieto hrozby zdôrazňujú dôležitosť ostražitosti, informovanosti používateľov a vylepšených bezpečnostných opatrení na zmiernenie rizík, ktoré predstavujú rozvíjajúce sa kybernetické útoky.
