Havoc 網路釣魚攻擊

網路安全調查人員發現了一項新的網路釣魚活動，該活動利用 ClickFix 技術部署開源命令與控制 (C2) 框架 Havoc。攻擊者巧妙地將惡意軟體階段隱藏在 SharePoint 網站後面，利用 Havoc Demon 的修改版本以及 Microsoft Graph API 來偽裝合法服務內的通訊。

網路釣魚陷阱：欺騙性電子郵件與 ClickFix 操縱

此次攻擊由包含名為 Documents.html 的 HTML 附件的網路釣魚電子郵件觸發。開啟後，該檔案會顯示錯誤訊息，誘使受害者複製並執行被竄改的 PowerShell 指令。這種被稱為 ClickFix 的技術會誘騙用戶相信他們需要透過手動更新 DNS 快取來修復 OneDrive 連線問題。

如果目標上當，他們會透過執行連接到攻擊者控制的 SharePoint 伺服器的 PowerShell 腳本無意中啟動感染過程。

多階段惡意軟體部署：從 PowerShell 到 Python

一旦不安全的 PowerShell 腳本執行，它會先檢查環境是否經過沙盒處理以逃避偵測。如果被認為是安全的，腳本將繼續下載 Python（'pythonw.exe'）（如果系統上尚未安裝）。

從那裡，第二個 PowerShell 腳本取得並執行基於 Python 的 shellcode 載入器，然後啟動用 C 和彙編編寫的反射載入器 KaynLdr。這最終會在受感染的機器上部署 Havoc Demon 代理。

Havoc 的功能：隱形網路武器

攻擊者使用 Havoc 與 Microsoft Graph API 來隱藏知名、可信任服務中的 C2 流量。 Havoc 的功能包括：

• 資訊收集
• 文件操作
• 命令執行
• 有效載荷執行
• 代幣操縱
• Kerberos 攻擊

利用 Google 廣告瞄準 PayPal 用戶

另一個令人擔憂的進展是，網路安全專家也發現威脅行為者利用 Google Ads 政策向 PayPal 用戶發送詐騙廣告。

這些策略透過模仿合法的 PayPal 支援頁面並誘騙用戶撥打虛假的客戶服務電話來發揮作用。其目的是透過讓受害者相信他們正在與合法的 PayPal 代表交談來收集受害者的個人和財務資訊。

Google廣告漏洞：詐欺者的遊樂場

這些技術支援策略的成功取決於 Google Ads 政策中的一個漏洞，該漏洞允許不良行為者冒充知名品牌。只要著陸頁（最終網址）和顯示網址與相同網域名稱匹配，詐欺者就可以製作出令人信服的虛假廣告。

網路犯罪分子很快就會利用熱門搜尋字詞，特別是與客戶支援和帳戶恢復相關的搜尋字詞，確保他們的詐騙廣告出現在搜尋結果的頂部。

結論：威脅情勢不斷上升

從由 ClickFix 提供支援的網路釣魚活動到 Google Ads 濫用，網路犯罪分子不斷改進他們的社會工程策略。這些威脅凸顯了警覺、使用者意識和加強安全措施的重要性，以減輕不斷演變的網路攻擊所帶來的風險。