Rabattoffert för flera licenser
Hotdatabas Nätfiske Havoc Phishing Attack

Havoc Phishing Attack

Med Mezo år Nätfiske, Skadlig programvara
Översätt till:
Svenska

Cybersäkerhetsutredare har avslöjat en ny nätfiskekampanj som utnyttjar ClickFix-tekniken för att distribuera Havoc, en öppen källkod för Command-and-Control (C2)-ramverk. Angriparna döljer skickligt stadier av skadlig programvara bakom en SharePoint-webbplats och använder en modifierad version av Havoc Demon tillsammans med Microsoft Graph API för att dölja kommunikation inom legitima tjänster.

Nätfiskefällan: ett bedrägligt e-post- och klickfix-manipulation

Attacken utlöses av ett nätfiske-e-postmeddelande som innehåller en HTML-bilaga med namnet Documents.html. När den öppnas visar filen ett felmeddelande som manipulerar offret att kopiera och utföra ett manipulerat PowerShell-kommando. Denna teknik, känd som ClickFix, lurar användare att tro att de behöver åtgärda ett problem med OneDrive-anslutningen genom att manuellt uppdatera deras DNS-cache.

Om målet faller för tricket initierar de oavsiktligt infektionsprocessen genom att köra ett PowerShell-skript som ansluter till en angriparkontrollerad SharePoint-server.

Skadlig programvara i flera steg: Från PowerShell till Python

När det osäkra PowerShell-skriptet körs, kontrollerar det först om miljön är sandlåda för att undvika upptäckt. Om det anses säkert fortsätter skriptet att ladda ner Python ('pythonw.exe') om det inte redan har installerats på systemet.

Därifrån hämtar och kör ett andra PowerShell-skript en Python-baserad shellcode-laddare, som sedan startar KaynLdr, en reflekterande laddare skriven i C och Assembly. Detta distribuerar slutligen Havoc Demon-agenten på den komprometterade maskinen.

Havoc’s Capabilities: A Stealthy Cyber Weapon

Angriparna använder Havoc tillsammans med Microsoft Graph API för att dölja C2-trafik inom välkända, pålitliga tjänster. Havocs funktioner inkluderar:

  • Informationsinsamling
  • Filoperationer
  • Kommandoexekvering
  • Utförande av nyttolast
  • Tokenmanipulation
  • Kerberos attacker

Google-annonser utnyttjas för att rikta sig till PayPal-användare

I en separat men ändå alarmerande utveckling har cybersäkerhetsexperter också observerat hotaktörer som utnyttjar Google Ads-policyer för att rikta in sig på PayPal-användare med bedrägliga annonser.

Denna taktik fungerar genom att imitera legitima PayPal-supportsidor och lura användare att ringa ett falskt kundtjänstnummer. Målet är att samla in offers personliga och ekonomiska information genom att övertyga dem om att de pratar med legitima PayPal-representanter.

Google Advertisements Loophole: A Playground for Fraudsters

Framgången för dessa tekniska supporttaktik beror på ett kryphål i Google Ads-policyerna, vilket gör att dåliga aktörer kan utge sig för välkända varumärken. Så länge som målsidan (slutlig URL) och visningsadressen matchar samma domän kan bedragare skapa övertygande falska annonser.

Cyberbrottslingar är snabba med att utnyttja populära söktermer, särskilt de som är relaterade till kundsupport och kontoåterställning, och ser till att deras bedrägliga annonser visas högst upp i sökresultaten.

Slutsats: Ett stigande hotlandskap

Från ClickFix-drivna nätfiskekampanjer till Google Ads-missbruk, cyberbrottslingar förfinar kontinuerligt sin sociala ingenjörstaktik. Dessa hot belyser vikten av vaksamhet, användarmedvetenhet och förbättrade säkerhetsåtgärder för att mildra riskerna med föränderliga cyberattacker.

Trendigt

Mest sedda

Läser in...