Havoc Phishing Attack

క్లిక్‌ఫిక్స్ టెక్నిక్‌ను ఉపయోగించి ఓపెన్-సోర్స్ కమాండ్-అండ్-కంట్రోల్ (C2) ఫ్రేమ్‌వర్క్ అయిన హవోక్‌ను అమలు చేయడానికి సైబర్ సెక్యూరిటీ పరిశోధకులు కొత్త ఫిషింగ్ ప్రచారాన్ని కనుగొన్నారు. దాడి చేసేవారు షేర్‌పాయింట్ సైట్ వెనుక ఉన్న మాల్వేర్ దశలను తెలివిగా దాచిపెడతారు, చట్టబద్ధమైన సేవలలోని కమ్యూనికేషన్‌లను దాచడానికి మైక్రోసాఫ్ట్ గ్రాఫ్ APIతో పాటు హవోక్ డెమోన్ యొక్క సవరించిన సంస్కరణను ఉపయోగిస్తారు.

ఫిషింగ్ ట్రాప్: ఒక మోసపూరిత ఇమెయిల్ మరియు క్లిక్‌ఫిక్స్ మానిప్యులేషన్

ఈ దాడి Documents.html అనే HTML అటాచ్‌మెంట్‌ను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్ ద్వారా జరుగుతుంది. ఫైల్ తెరిచినప్పుడు, బాధితుడు ట్యాంపర్ చేయబడిన పవర్‌షెల్ కమాండ్‌ను కాపీ చేసి అమలు చేసేలా చేసే ఎర్రర్ సందేశాన్ని ఫైల్ ప్రదర్శిస్తుంది. ClickFix అని పిలువబడే ఈ టెక్నిక్, వినియోగదారులు తమ DNS కాష్‌ను మాన్యువల్‌గా అప్‌డేట్ చేయడం ద్వారా OneDrive కనెక్షన్ సమస్యను పరిష్కరించాల్సిన అవసరం ఉందని నమ్మేలా చేస్తుంది.

లక్ష్యం ట్రిక్‌లో పడితే, వారు అనుకోకుండా దాడి చేసేవారి నియంత్రణలో ఉన్న షేర్‌పాయింట్ సర్వర్‌కు కనెక్ట్ అయ్యే పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేయడం ద్వారా ఇన్‌ఫెక్షన్ ప్రక్రియను ప్రారంభిస్తారు.

బహుళ-దశల మాల్వేర్ విస్తరణ: పవర్‌షెల్ నుండి పైథాన్ వరకు

సురక్షితం కాని పవర్‌షెల్ స్క్రిప్ట్ అమలు అయిన తర్వాత, అది ముందుగా గుర్తింపును తప్పించుకోవడానికి పర్యావరణం శాండ్‌బాక్స్ చేయబడిందో లేదో తనిఖీ చేస్తుంది. సురక్షితమైనదని భావిస్తే, స్క్రిప్ట్ పైథాన్ ('pythonw.exe')ను డౌన్‌లోడ్ చేయడానికి కొనసాగుతుంది, ఒకవేళ అది ఇప్పటికే సిస్టమ్‌లో ఇన్‌స్టాల్ చేయబడకపోతే.

అక్కడి నుండి, రెండవ పవర్‌షెల్ స్క్రిప్ట్ పైథాన్-ఆధారిత షెల్‌కోడ్ లోడర్‌ను పొంది అమలు చేస్తుంది, ఇది C మరియు అసెంబ్లీలో వ్రాయబడిన రిఫ్లెక్టివ్ లోడర్ అయిన KaynLdrని ప్రారంభిస్తుంది. ఇది చివరికి రాజీపడిన మెషీన్‌లో హవోక్ డెమోన్ ఏజెంట్‌ను అమలు చేస్తుంది.

హవోక్ సామర్థ్యాలు: ఒక రహస్య సైబర్ ఆయుధం

దాడి చేసేవారు ప్రసిద్ధ, విశ్వసనీయ సేవలలో C2 ట్రాఫిక్‌ను దాచడానికి మైక్రోసాఫ్ట్ గ్రాఫ్ APIతో కలిసి హవోక్‌ను ఉపయోగిస్తారు. హవోక్ యొక్క కార్యాచరణలలో ఇవి ఉన్నాయి:

• సమాచార సేకరణ
• ఫైల్ ఆపరేషన్లు
• కమాండ్ అమలు
• పేలోడ్ అమలు
• టోకెన్ మానిప్యులేషన్
• కెర్బెరోస్ దాడులు

పేపాల్ వినియోగదారులను లక్ష్యంగా చేసుకోవడానికి గూగుల్ ప్రకటనలు దుర్వినియోగం చేయబడ్డాయి

మరో ప్రత్యేక ఆందోళనకరమైన పరిణామంలో, మోసపూరిత ప్రకటనలతో పేపాల్ వినియోగదారులను లక్ష్యంగా చేసుకోవడానికి గూగుల్ ప్రకటనల విధానాలను ఉపయోగించుకునే బెదిరింపు నటులను సైబర్ భద్రతా నిపుణులు గమనించారు.

ఈ వ్యూహాలు చట్టబద్ధమైన PayPal మద్దతు పేజీలను అనుకరించడం ద్వారా మరియు వినియోగదారులను నకిలీ కస్టమర్ సర్వీస్ నంబర్‌కు కాల్ చేసేలా మోసగించడం ద్వారా పనిచేస్తాయి. బాధితులు చట్టబద్ధమైన PayPal ప్రతినిధులతో మాట్లాడుతున్నారని వారిని ఒప్పించడం ద్వారా వారి వ్యక్తిగత మరియు ఆర్థిక సమాచారాన్ని సేకరించడం లక్ష్యం.

గూగుల్ ప్రకటనల లొసుగు: మోసగాళ్లకు ఆట స్థలం

ఈ సాంకేతిక మద్దతు వ్యూహాల విజయం Google ప్రకటనల విధానాలలోని లొసుగుపై ఆధారపడి ఉంటుంది, ఇది చెడ్డ నటులు ప్రసిద్ధ బ్రాండ్‌ల వలె నటించడానికి అనుమతిస్తుంది. ల్యాండింగ్ పేజీ (తుది URL) మరియు ప్రదర్శన URL ఒకే డొమైన్‌తో సరిపోలినంత వరకు, మోసగాళ్ళు నమ్మదగిన నకిలీ ప్రకటనలను సృష్టించగలరు.

సైబర్ నేరస్థులు ప్రముఖ శోధన పదాలను, ముఖ్యంగా కస్టమర్ మద్దతు మరియు ఖాతా రికవరీకి సంబంధించిన వాటిని త్వరగా ఉపయోగించుకుంటారు, వారి మోసపూరిత ప్రకటనలు శోధన ఫలితాల ఎగువన కనిపించేలా చూసుకుంటారు.

ముగింపు: పెరుగుతున్న ముప్పు ప్రకృతి దృశ్యం

ClickFix-ఆధారిత ఫిషింగ్ ప్రచారాల నుండి Google ప్రకటనల దుర్వినియోగం వరకు, సైబర్ నేరస్థులు తమ సోషల్ ఇంజనీరింగ్ వ్యూహాలను నిరంతరం మెరుగుపరుస్తున్నారు. ఈ బెదిరింపులు అభివృద్ధి చెందుతున్న సైబర్ దాడుల వల్ల కలిగే నష్టాలను తగ్గించడానికి అప్రమత్తత, వినియోగదారు అవగాహన మరియు మెరుగైన భద్రతా చర్యల ప్రాముఖ్యతను హైలైట్ చేస్తాయి.