Фішингова атака Havoc
Слідчі з кібербезпеки виявили нову фішингову кампанію, яка використовує техніку ClickFix для розгортання Havoc, фреймворку командування та керування (C2) з відкритим кодом. Зловмисники вміло приховують етапи зловмисного програмного забезпечення за сайтом SharePoint, використовуючи модифіковану версію Havoc Demon разом із Microsoft Graph API, щоб приховати зв’язок у законних службах.
Зміст
Пастка для фішингу: оманлива електронна пошта та маніпуляція ClickFix
Атака викликана фішинговим електронним листом, який містить вкладення HTML під назвою Documents.html. Після відкриття файл відображає повідомлення про помилку, яке спонукає жертву скопіювати та виконати змінену команду PowerShell. Ця техніка, відома як ClickFix, змушує користувачів повірити, що їм потрібно вирішити проблему підключення до OneDrive, оновивши кеш DNS вручну.
Якщо мета потрапляє на трюк, вона випадково ініціює процес зараження, запускаючи сценарій PowerShell, який підключається до контрольованого зловмисником сервера SharePoint.
Багатоетапне розгортання зловмисного програмного забезпечення: від PowerShell до Python
Після виконання небезпечного сценарію PowerShell він спочатку перевіряє, чи середовище є ізольованим програмним середовищем, щоб уникнути виявлення. Якщо сценарій вважається безпечним, він переходить до завантаження Python ('pythonw.exe'), якщо його ще не встановлено в системі.
Звідти другий сценарій PowerShell отримує та виконує завантажувач коду оболонки на основі Python, який потім запускає KaynLdr, рефлексивний завантажувач, написаний на C та Assembly. Зрештою агент Havoc Demon розгортається на скомпрометованій машині.
Можливості Havoc: непомітна кіберзброя
Зловмисники використовують Havoc у тандемі з Microsoft Graph API, щоб приховати трафік C2 у добре відомих надійних службах. Функціональні можливості Havoc включають:
- Збір інформації
- Файлові операції
- Виконання команди
- Виконання корисного навантаження
- Маніпулювання токеном
- Атаки Kerberos
Реклама Google використовується для націлювання на користувачів PayPal
Іншою, але тривожною подією є те, що експерти з кібербезпеки також помітили, що зловмисники використовують політику Google Ads для націлювання на користувачів PayPal за допомогою шахрайської реклами.
Ця тактика працює, видаючи себе за законні сторінки підтримки PayPal і обманом змушуючи користувачів дзвонити на фальшивий номер служби підтримки клієнтів. Мета полягає в тому, щоб зібрати особисту та фінансову інформацію жертв, переконавши їх, що вони розмовляють із законними представниками PayPal.
Лазівка реклами Google: майданчик для шахраїв
Успіх цієї тактики технічної підтримки залежить від лазівки в політиці Google Ads, яка дозволяє зловмисникам видавати себе за відомі бренди. Якщо цільова сторінка (кінцева URL-адреса) і відображувана URL-адреса збігаються з одним доменом, шахраї можуть створювати переконливі підроблені рекламні оголошення.
Кіберзлочинці швидко використовують популярні пошукові терміни, особливо ті, що стосуються підтримки клієнтів і відновлення облікового запису, гарантуючи, що їхні шахрайські оголошення відображатимуться у верхній частині результатів пошуку.
Висновок: ландшафт зростаючої загрози
Від фішингових кампаній на основі ClickFix до зловживань Google Ads, кіберзлочинці постійно вдосконалюють свою тактику соціальної інженерії. Ці загрози підкреслюють важливість пильності, обізнаності користувачів і посилених заходів безпеки для пом’якшення ризиків, пов’язаних із розвитком кібератак.
