Havoc 网络钓鱼攻击
网络安全调查人员发现了一项新的网络钓鱼活动,该活动利用 ClickFix 技术部署开源命令与控制 (C2) 框架 Havoc。攻击者巧妙地将恶意软件阶段隐藏在 SharePoint 网站后面,利用修改版的 Havoc Demon 以及 Microsoft Graph API 来伪装合法服务中的通信。
目录
网络钓鱼陷阱:欺骗性电子邮件和 ClickFix 操纵
此次攻击由一封包含 HTML 附件(名为 Documents.html)的网络钓鱼电子邮件触发。打开后,该文件会显示一条错误消息,诱使受害者复制并执行被篡改的 PowerShell 命令。这种被称为 ClickFix 的技术会诱使用户相信他们需要通过手动更新 DNS 缓存来修复 OneDrive 连接问题。
如果目标上当,他们会通过运行连接到攻击者控制的 SharePoint 服务器的 PowerShell 脚本无意中启动感染过程。
多阶段恶意软件部署:从 PowerShell 到 Python
一旦不安全的 PowerShell 脚本执行,它会首先检查环境是否经过沙盒处理以逃避检测。如果认为安全,则脚本将继续下载 Python(“pythonw.exe”)(如果系统上尚未安装)。
然后,第二个 PowerShell 脚本获取并执行基于 Python 的 shellcode 加载器,然后启动 KaynLdr(一个用 C 和汇编编写的反射加载器)。这最终会在受感染的机器上部署 Havoc Demon 代理。
Havoc 的功能:隐形网络武器
攻击者将 Havoc 与 Microsoft Graph API 结合使用,以隐藏知名、受信任服务中的 C2 流量。Havoc 的功能包括:
- 信息收集
- 文件操作
- 命令执行
- 有效载荷执行
- 代币操纵
- Kerberos 攻击
利用 Google 广告瞄准 PayPal 用户
另一个令人担忧的进展是,网络安全专家还发现威胁行为者利用 Google Ads 政策向 PayPal 用户发送欺诈性广告。
这些伎俩通过冒充合法的 PayPal 支持页面并诱骗用户拨打虚假的客户服务电话来实施。其目的是通过让受害者相信他们正在与合法的 PayPal 代表交谈来收集受害者的个人和财务信息。
谷歌广告漏洞:欺诈者的游乐场
这些技术支持策略的成功取决于 Google Ads 政策的一个漏洞,该漏洞允许不良行为者冒充知名品牌。只要着陆页(最终 URL)和显示 URL 匹配同一个域名,欺诈者就可以制作令人信服的虚假广告。
网络犯罪分子很快就会利用热门搜索词,特别是与客户支持和帐户恢复相关的搜索词,确保他们的欺诈性广告出现在搜索结果的顶部。
结论:威胁形势不断上升
从 ClickFix 驱动的网络钓鱼活动到 Google Ads 滥用,网络犯罪分子不断改进其社交工程策略。这些威胁凸显了警惕性、用户意识和增强安全措施的重要性,以减轻不断演变的网络攻击带来的风险。
