Havoc Kimlik Avı Saldırısı
Siber güvenlik araştırmacıları, açık kaynaklı bir Komuta ve Kontrol (C2) çerçevesi olan Havoc'u dağıtmak için ClickFix tekniğinden yararlanan yeni bir kimlik avı kampanyasını ortaya çıkardı. Saldırganlar, meşru hizmetler içindeki iletişimleri gizlemek için Havoc Demon'un değiştirilmiş bir sürümünü ve Microsoft Graph API'sini kullanarak kötü amaçlı yazılım aşamalarını bir SharePoint sitesinin arkasına akıllıca gizler.
İçindekiler
Phishing Tuzağı: Aldatıcı Bir E-posta ve ClickFix Manipülasyonu
Saldırı, Documents.html adlı bir HTML eki içeren bir kimlik avı e-postası tarafından tetiklenir. Dosya açıldığında, kurbanı değiştirilmiş bir PowerShell komutunu kopyalamaya ve yürütmeye yönlendiren bir hata mesajı görüntüler. ClickFix olarak bilinen bu teknik, kullanıcıları DNS önbelleklerini manuel olarak güncelleyerek bir OneDrive bağlantı sorununu düzeltmeleri gerektiğine inandırır.
Hedef bu tuzağa düşerse, saldırganın kontrolündeki bir SharePoint sunucusuna bağlanan bir PowerShell betiğini çalıştırarak istemeden enfeksiyon sürecini başlatır.
Çok Aşamalı Kötü Amaçlı Yazılım Dağıtımı: PowerShell’den Python’a
Güvenli olmayan PowerShell betiği yürütüldüğünde, öncelikle algılamayı önlemek için ortamın korumalı olup olmadığını kontrol eder. Güvenli kabul edilirse, betik sistemde daha önceden kurulu değilse Python'u ('pythonw.exe') indirmeye devam eder.
Oradan, ikinci bir PowerShell betiği Python tabanlı bir kabuk kodu yükleyicisini alır ve yürütür, bu da C ve Assembly'de yazılmış yansıtıcı bir yükleyici olan KaynLdr'yi başlatır. Bu, nihayetinde tehlikeye atılan makinede Havoc Demon aracısını dağıtır.
Havoc’un Yetenekleri: Gizli Bir Siber Silah
Saldırganlar, iyi bilinen, güvenilir hizmetler içindeki C2 trafiğini gizlemek için Havoc'u Microsoft Graph API ile birlikte kullanır. Havoc'un işlevleri şunları içerir:
- Bilgi toplama
- Dosya işlemleri
- Komut yürütme
- Yük yürütme
- Jeton manipülasyonu
- Kerberos saldırıları
Google Reklamları PayPal Kullanıcılarını Hedef Almak İçin Kullanıldı
Ayrı bir endişe verici gelişme olarak, siber güvenlik uzmanları tehdit aktörlerinin Google Ads politikalarını suistimal ederek PayPal kullanıcılarını dolandırıcı reklamlarla hedef aldığını da gözlemlediler.
Bu taktikler, meşru PayPal destek sayfalarını taklit ederek ve kullanıcıları sahte bir müşteri hizmetleri numarasını aramaya kandırarak çalışır. Amaç, kurbanların kişisel ve finansal bilgilerini, meşru PayPal temsilcileriyle konuştuklarına ikna ederek toplamaktır.
Google Reklam Açığı: Dolandırıcılar İçin Bir Oyun Alanı
Bu teknik destek taktiklerinin başarısı, kötü niyetli kişilerin tanınmış markaları taklit etmesine olanak tanıyan Google Ads politikalarındaki bir boşluğa dayanmaktadır. Açılış sayfası (son URL) ve görüntülenen URL aynı alan adıyla eşleştiği sürece, dolandırıcılar ikna edici sahte reklamlar oluşturabilir.
Siber suçlular, özellikle müşteri desteği ve hesap kurtarma ile ilgili olanlar olmak üzere popüler arama terimlerini suistimal ederek, sahte reklamlarının arama sonuçlarının en üstünde görünmesini sağlıyorlar.
Sonuç: Yükselen Bir Tehdit Manzarası
ClickFix destekli kimlik avı kampanyalarından Google Ads kötüye kullanımına kadar, siber suçlular sosyal mühendislik taktiklerini sürekli olarak geliştiriyor. Bu tehditler, gelişen siber saldırıların oluşturduğu riskleri azaltmak için uyanıklığın, kullanıcı farkındalığının ve gelişmiş güvenlik önlemlerinin önemini vurguluyor.
