การโจมตีฟิชชิ่งแบบ Havoc

นักสืบด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยแคมเปญฟิชชิ่งรูปแบบใหม่ที่ใช้เทคนิค ClickFix เพื่อใช้งาน Havoc ซึ่งเป็นกรอบงาน Command-and-Control (C2) แบบโอเพ่นซอร์ส ผู้โจมตีซ่อนมัลแวร์ไว้เบื้องหลังไซต์ SharePoint อย่างชาญฉลาด โดยใช้ Havoc Demon เวอร์ชันดัดแปลงร่วมกับ Microsoft Graph API เพื่อปกปิดการสื่อสารภายในบริการที่ถูกต้องตามกฎหมาย

กับดักฟิชชิ่ง: อีเมลหลอกลวงและการจัดการ ClickFix

การโจมตีเกิดขึ้นจากอีเมลฟิชชิ่งที่มีไฟล์แนบ HTML ชื่อ Documents.html เมื่อเปิดไฟล์ดังกล่าว ไฟล์ดังกล่าวจะแสดงข้อความแสดงข้อผิดพลาดที่หลอกล่อเหยื่อให้คัดลอกและดำเนินการคำสั่ง PowerShell ที่ถูกดัดแปลง เทคนิคนี้เรียกว่า ClickFix ซึ่งหลอกล่อผู้ใช้ให้เชื่อว่าจำเป็นต้องแก้ไขปัญหาการเชื่อมต่อ OneDrive โดยอัปเดตแคช DNS ด้วยตนเอง

หากเป้าหมายหลงกล พวกเขาจะเริ่มกระบวนการติดเชื้อโดยไม่ตั้งใจโดยการรันสคริปต์ PowerShell ที่เชื่อมต่อกับเซิร์ฟเวอร์ SharePoint ที่ควบคุมโดยผู้โจมตี

การปรับใช้มัลแวร์หลายขั้นตอน: จาก PowerShell ไปจนถึง Python

เมื่อสคริปต์ PowerShell ที่ไม่ปลอดภัยทำงาน สคริปต์จะตรวจสอบก่อนว่าสภาพแวดล้อมถูกแซนด์บ็อกซ์เพื่อหลีกเลี่ยงการตรวจจับหรือไม่ หากถือว่าปลอดภัย สคริปต์จะดำเนินการดาวน์โหลด Python ('pythonw.exe') หากยังไม่ได้ติดตั้งบนระบบ

จากนั้น สคริปต์ PowerShell ตัวที่สองจะดึงและดำเนินการตัวโหลดเชลล์โค้ดที่ใช้ Python จากนั้นจึงเปิดใช้งาน KaynLdr ซึ่งเป็นตัวโหลดแบบสะท้อนกลับที่เขียนด้วยภาษา C และ Assembly ซึ่งจะทำให้ติดตั้งตัวแทน Havoc Demon บนเครื่องที่ถูกบุกรุกในที่สุด

ความสามารถของ Havoc: อาวุธไซเบอร์ที่ซ่อนเร้น

ผู้โจมตีใช้ Havoc ร่วมกับ Microsoft Graph API เพื่อปกปิดการรับส่งข้อมูล C2 ภายในบริการที่เป็นที่รู้จักและเชื่อถือได้ ฟังก์ชันการทำงานของ Havoc มีดังนี้:

• การรวบรวมข้อมูล
• การดำเนินการไฟล์
• การดำเนินการคำสั่ง
• การดำเนินการบรรทุกสินค้า
• การจัดการโทเค็น
• การโจมตี Kerberos

โฆษณาของ Google ถูกใช้ประโยชน์เพื่อกำหนดเป้าหมายผู้ใช้ PayPal

จากการพัฒนาที่แยกจากกันแต่ยังน่าตกใจ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังได้สังเกตเห็นผู้ก่อภัยคุกคามที่ใช้ประโยชน์จากนโยบาย Google Ads เพื่อกำหนดเป้าหมายผู้ใช้ PayPal ด้วยโฆษณาหลอกลวง

กลวิธีเหล่านี้ได้ผลโดยแอบอ้างเป็นหน้าสนับสนุน PayPal ที่ถูกกฎหมายและหลอกล่อให้ผู้ใช้โทรไปที่หมายเลขฝ่ายบริการลูกค้าปลอม เป้าหมายคือการรวบรวมข้อมูลส่วนตัวและข้อมูลทางการเงินของเหยื่อด้วยการโน้มน้าวให้พวกเขาเชื่อว่าพวกเขากำลังพูดคุยกับตัวแทน PayPal ที่ถูกกฎหมาย

ช่องโหว่โฆษณาของ Google: แหล่งเล่นของพวกหลอกลวง

ความสำเร็จของกลยุทธ์การสนับสนุนทางเทคนิคเหล่านี้ขึ้นอยู่กับช่องโหว่ในนโยบาย Google Ads ซึ่งทำให้ผู้ไม่หวังดีสามารถปลอมแปลงเป็นแบรนด์ที่มีชื่อเสียงได้ ตราบใดที่หน้าปลายทาง (URL สุดท้าย) และ URL ที่แสดงตรงกับโดเมนเดียวกัน ผู้ฉ้อโกงก็สามารถสร้างโฆษณาปลอมที่น่าเชื่อถือได้

อาชญากรทางไซเบอร์มักจะใช้ประโยชน์จากเงื่อนไขการค้นหายอดนิยม โดยเฉพาะอย่างยิ่งเงื่อนไขที่เกี่ยวข้องกับการสนับสนุนลูกค้าและการกู้คืนบัญชี เพื่อให้แน่ใจว่าโฆษณาหลอกลวงของพวกเขาจะปรากฏที่ด้านบนสุดของผลการค้นหา

บทสรุป: ภูมิทัศน์ของภัยคุกคามที่เพิ่มขึ้น

ตั้งแต่แคมเปญฟิชชิ่งที่ขับเคลื่อนโดย ClickFix ไปจนถึงการละเมิด Google Ads อาชญากรไซเบอร์ต่างพัฒนากลวิธีทางวิศวกรรมสังคมอย่างต่อเนื่อง ภัยคุกคามเหล่านี้เน้นย้ำถึงความสำคัญของการเฝ้าระวัง การรับรู้ของผู้ใช้ และมาตรการรักษาความปลอดภัยขั้นสูงเพื่อบรรเทาความเสี่ยงที่เกิดจากการโจมตีทางไซเบอร์ที่เปลี่ยนแปลงไป