Havoc Phishing Sulm

Hetuesit e sigurisë kibernetike kanë zbuluar një fushatë të re phishing që përdor teknikën ClickFix për të vendosur Havoc, një kornizë Command-and-Control (C2) me burim të hapur. Sulmuesit fshehin me zgjuarsi fazat e malware pas një sajti të SharePoint, duke përdorur një version të modifikuar të Havoc Demon së bashku me Microsoft Graph API për të maskuar komunikimet brenda shërbimeve legjitime.

Kurthi i phishing: Një email mashtrues dhe manipulim ClickFix

Sulmi shkaktohet nga një email phishing që përmban një bashkëngjitje HTML të quajtur Documents.html. Kur hapet, skedari shfaq një mesazh gabimi që manipulon viktimën në kopjimin dhe ekzekutimin e një komande të manipuluar PowerShell. Kjo teknikë, e njohur si ClickFix, i mashtron përdoruesit që të besojnë se duhet të rregullojnë një problem të lidhjes OneDrive duke përditësuar manualisht cache-in e tyre DNS.

Nëse objektivi bie për mashtrim, ata pa dashje fillojnë procesin e infektimit duke ekzekutuar një skript PowerShell që lidhet me një server SharePoint të kontrolluar nga sulmuesi.

Vendosja e malware me shumë faza: Nga PowerShell në Python

Pasi të ekzekutohet skripti i pasigurt PowerShell, ai së pari kontrollon nëse mjedisi është në sandbox për të shmangur zbulimin. Nëse konsiderohet i sigurt, skripti vazhdon të shkarkojë Python ('pythonw.exe') nëse nuk është instaluar tashmë në sistem.

Nga atje, një skript i dytë PowerShell merr dhe ekzekuton një ngarkues të kodit shell të bazuar në Python, i cili më pas lëshon KaynLdr, një ngarkues reflektues i shkruar në C dhe Assembly. Kjo përfundimisht vendos agjentin Havoc Demon në makinën e komprometuar.

Aftësitë e Havoc: Një armë e fshehtë kibernetike

Sulmuesit përdorin Havoc së bashku me Microsoft Graph API për të fshehur trafikun C2 brenda shërbimeve të mirënjohura dhe të besuara. Funksionalitetet e Havoc përfshijnë:

• Mbledhja e informacionit
• Operacionet e skedarëve
• Ekzekutimi i komandës
• Ekzekutimi i ngarkesës
• Manipulimi i tokenit
• Sulmet Kerberos

Reklamat e Google të shfrytëzuara për të synuar përdoruesit e PayPal

Në një zhvillim të veçantë por alarmant, ekspertët e sigurisë kibernetike kanë vëzhguar gjithashtu aktorë kërcënimi që shfrytëzojnë politikat e Google Ads për të synuar përdoruesit e PayPal me reklama mashtruese.

Këto taktika funksionojnë duke imituar faqet legjitime të mbështetjes së PayPal dhe duke mashtruar përdoruesit për të thirrur një numër të rremë të shërbimit të klientit. Qëllimi është të mblidhen të dhënat personale dhe financiare të viktimave duke i bindur ata se po flasin me përfaqësues legjitimë të PayPal.

Shtrirja e reklamave në Google: Një shesh lojërash për mashtruesit

Suksesi i këtyre taktikave të mbështetjes teknike varet nga një boshllëk në politikat e Google Ads, i cili lejon aktorët e këqij të imitojnë markat e njohura. Për sa kohë që faqja e uljes (URL-ja përfundimtare) dhe URL-ja e ekranit përputhen me të njëjtin domen, mashtruesit mund të krijojnë reklama të rreme bindëse.

Kriminelët kibernetikë janë të shpejtë për të shfrytëzuar termat e njohura të kërkimit, veçanërisht ato që lidhen me mbështetjen e klientit dhe rikuperimin e llogarisë, duke siguruar që reklamat e tyre mashtruese të shfaqen në krye të rezultateve të kërkimit.

Përfundim: Një Peizazh Kërcënues në Rritje

Nga fushatat e phishing të mbështetura nga ClickFix deri te abuzimi me Google Ads, kriminelët kibernetikë po përmirësojnë vazhdimisht taktikat e tyre të inxhinierisë sociale. Këto kërcënime theksojnë rëndësinë e vigjilencës, ndërgjegjësimit të përdoruesve dhe masave të shtuara të sigurisë për të zbutur rreziqet që vijnë nga sulmet kibernetike në zhvillim.