Havoc Phishing Attack

Natuklasan ng mga investigator ng cybersecurity ang isang bagong kampanya sa phishing na gumagamit ng pamamaraan ng ClickFix upang i-deploy ang Havoc, isang open-source na Command-and-Control (C2) na balangkas. Matalinong itinago ng mga umaatake ang mga yugto ng malware sa likod ng isang SharePoint site, gamit ang isang binagong bersyon ng Havoc Demon kasama ang Microsoft Graph API upang itago ang mga komunikasyon sa loob ng mga lehitimong serbisyo.

Ang Phishing Trap: Isang Mapanlinlang na Email at Pagmamanipula ng ClickFix

Ang pag-atake ay na-trigger ng isang phishing email na naglalaman ng HTML attachment na pinangalanang Documents.html. Kapag binuksan, ang file ay nagpapakita ng isang mensahe ng error na nagmamanipula sa biktima sa pagkopya at pagpapatupad ng isang tampered PowerShell command. Ang diskarteng ito, na kilala bilang ClickFix, ay nanlilinlang sa mga user na maniwala na kailangan nilang ayusin ang isang isyu sa koneksyon sa OneDrive sa pamamagitan ng manu-manong pag-update ng kanilang DNS cache.

Kung mahuhulog ang target sa lansihin, hindi nila sinasadyang simulan ang proseso ng impeksyon sa pamamagitan ng pagpapatakbo ng PowerShell script na kumokonekta sa isang SharePoint server na kontrolado ng attacker.

Multi-Stage Malware Deployment: Mula sa PowerShell hanggang Python

Kapag naisakatuparan na ang hindi ligtas na script ng PowerShell, susuriin muna nito kung naka-sandbox ang kapaligiran upang maiwasan ang pagtuklas. Kung itinuturing na ligtas, magpapatuloy ang script sa pag-download ng Python ('pythonw.exe') kung hindi pa ito na-install sa system.

Mula doon, ang pangalawang PowerShell script ay kumukuha at nagpapatupad ng Python-based na shellcode loader, na pagkatapos ay naglulunsad ng KaynLdr, isang reflective loader na nakasulat sa C at Assembly. Sa huli, inilalagay nito ang ahente ng Havoc Demon sa nakompromisong makina.

Mga Kakayahan ng Havoc: Isang Palihim na Cyber Weapon

Ginagamit ng mga umaatake ang Havoc kasabay ng Microsoft Graph API para itago ang trapiko ng C2 sa mga kilalang, pinagkakatiwalaang serbisyo. Kasama sa mga functionality ng Havoc ang:

• Pagkalap ng impormasyon
• Mga operasyon ng file
• Pagpapatupad ng utos
• Pagpapatupad ng payload
• Pagmamanipula ng token
• Pag-atake ng Kerberos

Mga Google Advertisement na Pinagsasamantalahan upang Mag-target ng Mga User ng PayPal

Sa isang hiwalay ngunit nakababahala na pag-unlad, naobserbahan din ng mga eksperto sa cybersecurity ang mga banta na nagsasamantala sa mga patakaran ng Google Ads upang i-target ang mga user ng PayPal na may mga mapanlinlang na advertisement.

Gumagana ang mga taktikang ito sa pamamagitan ng pagpapanggap bilang mga lehitimong pahina ng suporta sa PayPal at panlilinlang sa mga user na tumawag sa isang pekeng numero ng serbisyo sa customer. Ang layunin ay mangolekta ng personal at pinansyal na impormasyon ng mga biktima sa pamamagitan ng pagkumbinsi sa kanila na nakikipag-usap sila sa mga lehitimong kinatawan ng PayPal.

Google Advertisements Luophole: Isang Palaruan para sa mga Manloloko

Ang tagumpay ng mga taktikang ito sa teknikal na suporta ay nakasalalay sa isang butas sa mga patakaran ng Google Ads, na nagbibigay-daan sa mga masasamang aktor na magpanggap bilang mga kilalang brand. Hangga't ang landing page (final URL) at ang display URL ay tumutugma sa parehong domain, ang mga manloloko ay maaaring gumawa ng mga nakakumbinsi na pekeng ad.

Mabilis na sinasamantala ng mga cybercriminal ang mga sikat na termino para sa paghahanap, lalo na ang mga nauugnay sa suporta sa customer at pagbawi ng account, na tinitiyak na lumalabas ang kanilang mga mapanlinlang na ad sa tuktok ng mga resulta ng paghahanap.

Konklusyon: Isang Tumataas na Banta na Landscape

Mula sa mga kampanyang phishing na pinapagana ng ClickFix hanggang sa pang-aabuso sa Google Ads, patuloy na pinipino ng mga cybercriminal ang kanilang mga taktika sa social engineering. Itinatampok ng mga banta na ito ang kahalagahan ng pagbabantay, kamalayan ng user, at pinahusay na mga hakbang sa seguridad upang mabawasan ang mga panganib na dulot ng umuusbong na cyberattacks.