Tấn công lừa đảo Havoc

Các nhà điều tra an ninh mạng đã phát hiện ra một chiến dịch lừa đảo mới tận dụng kỹ thuật ClickFix để triển khai Havoc, một khuôn khổ Command-and-Control (C2) mã nguồn mở. Những kẻ tấn công khéo léo che giấu các giai đoạn phần mềm độc hại đằng sau một trang web SharePoint, sử dụng phiên bản đã sửa đổi của Havoc Demon cùng với Microsoft Graph API để ngụy trang các thông tin liên lạc trong các dịch vụ hợp pháp.

Bẫy lừa đảo: Email lừa đảo và sự thao túng của ClickFix

Cuộc tấn công được kích hoạt bằng một email lừa đảo có chứa tệp đính kèm HTML có tên Documents.html. Khi mở tệp, tệp sẽ hiển thị thông báo lỗi khiến nạn nhân sao chép và thực thi lệnh PowerShell bị giả mạo. Kỹ thuật này, được gọi là ClickFix, đánh lừa người dùng tin rằng họ cần khắc phục sự cố kết nối OneDrive bằng cách cập nhật thủ công bộ đệm DNS của họ.

Nếu mục tiêu mắc bẫy, họ sẽ vô tình khởi tạo quá trình lây nhiễm bằng cách chạy tập lệnh PowerShell kết nối đến máy chủ SharePoint do kẻ tấn công kiểm soát.

Triển khai phần mềm độc hại nhiều giai đoạn: Từ PowerShell đến Python

Sau khi tập lệnh PowerShell không an toàn thực thi, trước tiên nó sẽ kiểm tra xem môi trường có được bảo vệ bằng hộp cát để tránh bị phát hiện hay không. Nếu được coi là an toàn, tập lệnh sẽ tiến hành tải xuống Python ('pythonw.exe') nếu nó chưa được cài đặt trên hệ thống.

Từ đó, một tập lệnh PowerShell thứ hai sẽ lấy và thực thi một trình tải shellcode dựa trên Python, sau đó khởi chạy KaynLdr, một trình tải phản chiếu được viết bằng C và Assembly. Cuối cùng, điều này sẽ triển khai tác nhân Havoc Demon trên máy bị xâm nhập.

Khả năng của Havoc: Một vũ khí mạng bí mật

Những kẻ tấn công sử dụng Havoc kết hợp với Microsoft Graph API để che giấu lưu lượng C2 trong các dịch vụ đáng tin cậy và nổi tiếng. Các chức năng của Havoc bao gồm:

• Thu thập thông tin
• Hoạt động tập tin
• Thực hiện lệnh
• Thực hiện tải trọng
• Thao túng mã thông báo
• Các cuộc tấn công Kerberos

Quảng cáo của Google được khai thác để nhắm mục tiêu vào người dùng PayPal

Trong một diễn biến riêng biệt nhưng đáng báo động, các chuyên gia an ninh mạng cũng đã quan sát thấy những kẻ tấn công lợi dụng chính sách của Google Ads để nhắm mục tiêu vào người dùng PayPal bằng các quảng cáo gian lận.

Các chiến thuật này hoạt động bằng cách mạo danh các trang hỗ trợ PayPal hợp pháp và lừa người dùng gọi đến số dịch vụ khách hàng giả mạo. Mục đích là thu thập thông tin cá nhân và tài chính của nạn nhân bằng cách thuyết phục họ rằng họ đang nói chuyện với đại diện PayPal hợp pháp.

Kẽ hở quảng cáo của Google: Sân chơi cho những kẻ lừa đảo

Sự thành công của các chiến thuật hỗ trợ kỹ thuật này phụ thuộc vào một lỗ hổng trong chính sách của Google Ads, cho phép những kẻ xấu mạo danh các thương hiệu nổi tiếng. Miễn là trang đích (URL cuối cùng) và URL hiển thị khớp với cùng một tên miền, kẻ gian có thể tạo ra các quảng cáo giả mạo có sức thuyết phục.

Tội phạm mạng nhanh chóng khai thác các thuật ngữ tìm kiếm phổ biến, đặc biệt là các thuật ngữ liên quan đến hỗ trợ khách hàng và khôi phục tài khoản, đảm bảo rằng quảng cáo gian lận của họ sẽ xuất hiện ở đầu kết quả tìm kiếm.

Kết luận: Bối cảnh mối đe dọa đang gia tăng

Từ các chiến dịch lừa đảo do ClickFix hỗ trợ đến việc lạm dụng Google Ads, tội phạm mạng liên tục cải tiến các chiến thuật kỹ thuật xã hội của mình. Những mối đe dọa này nhấn mạnh tầm quan trọng của sự cảnh giác, nhận thức của người dùng và các biện pháp bảo mật nâng cao để giảm thiểu rủi ro do các cuộc tấn công mạng đang phát triển.