Havoc Phishing napad
Preiskovalci kibernetske varnosti so odkrili novo kampanjo lažnega predstavljanja, ki izkorišča tehniko ClickFix za uvajanje Havoc, odprtokodnega ogrodja Command-and-Control (C2). Napadalci spretno prikrijejo stopnje zlonamerne programske opreme za mestom SharePoint, pri čemer uporabljajo spremenjeno različico Havoc Demon skupaj z API-jem Microsoft Graph za prikrivanje komunikacije znotraj zakonitih storitev.
Kazalo
Past lažnega predstavljanja: zavajajoča e-pošta in manipulacija ClickFix
Napad sproži lažno e-poštno sporočilo, ki vsebuje prilogo HTML z imenom Documents.html. Ko se datoteka odpre, se prikaže sporočilo o napaki, ki žrtev manipulira v kopiranje in izvajanje spremenjenega ukaza PowerShell. Ta tehnika, znana kot ClickFix, zavede uporabnike, da verjamejo, da morajo odpraviti težavo s povezavo OneDrive z ročnim posodabljanjem predpomnilnika DNS.
Če tarča nasede triku, nenamerno sproži postopek okužbe z zagonom skripta PowerShell, ki se poveže s strežnikom SharePoint, ki ga nadzoruje napadalec.
Večstopenjska uvedba zlonamerne programske opreme: od PowerShell do Pythona
Ko se nevaren skript PowerShell izvede, najprej preveri, ali je okolje v peskovniku, da se izogne zaznavanju. Če se oceni kot varen, skript nadaljuje s prenosom Pythona ('pythonw.exe'), če še ni bil nameščen v sistemu.
Od tam drugi skript PowerShell pridobi in izvede nalagalnik lupinske kode, ki temelji na Pythonu, ki nato zažene KaynLdr, odsevni nalagalnik, napisan v C in Assembly. To na koncu namesti agenta Havoc Demon na ogroženi stroj.
Zmogljivosti Havoca: prikrito kibernetsko orožje
Napadalci uporabljajo Havoc v tandemu z API-jem Microsoft Graph za prikrivanje prometa C2 v dobro znanih, zaupanja vrednih storitvah. Funkcionalnosti Havoc vključujejo:
- Zbiranje informacij
- Datotečne operacije
- Izvedba ukaza
- Izvedba koristnega tovora
- Manipulacija z žetoni
- Kerberos napadi
Googlovi oglasi, izkoriščeni za ciljanje uporabnikov PayPal
V ločenem, a zaskrbljujočem razvoju so strokovnjaki za kibernetsko varnost opazili tudi akterje groženj, ki izkoriščajo pravilnike Google Ads za ciljanje uporabnikov PayPal z goljufivimi oglasi.
Te taktike delujejo tako, da se lažno predstavljajo kot legitimne strani za podporo PayPal in uporabnike zavedejo, da pokličejo lažno številko storitve za stranke. Cilj je zbrati osebne in finančne podatke žrtev tako, da jih prepričate, da govorijo z zakonitimi predstavniki PayPala.
Vrzel v Google Advertisements: igrišče za goljufe
Uspeh teh taktik tehnične podpore je odvisen od vrzeli v pravilnikih Google Ads, ki slabim akterjem omogoča, da se predstavljajo za dobro znane blagovne znamke. Dokler se ciljna stran (končni URL) in prikazni URL ujemata z isto domeno, lahko goljufi ustvarijo prepričljive lažne oglase.
Kibernetski kriminalci hitro izkoristijo priljubljene iskalne izraze, zlasti tiste, povezane s podporo strankam in obnovitvijo računa, s čimer zagotovijo, da se njihovi goljufivi oglasi prikažejo na vrhu rezultatov iskanja.
Zaključek: krajina naraščajoče grožnje
Kibernetski kriminalci nenehno izpopolnjujejo svoje taktike socialnega inženiringa, od oglaševalskih akcij z lažnim predstavljanjem, ki jih poganja ClickFix, do zlorab Google Ads. Te grožnje poudarjajo pomen budnosti, ozaveščenosti uporabnikov in okrepljenih varnostnih ukrepov za ublažitev tveganj, ki jih predstavljajo razvijajoči se kibernetski napadi.
