Siber güvenlik araştırmacıları, Havoc adı verilen açık kaynaklı komut ve kontrol (C2) çerçevesi sunmak için ClickFix tekniğini kullanan yeni bir kimlik avı kampanyasına dikkat çekiyorlar.
“Tehdit oyuncusu her kötü amaçlı yazılım sahasını bir SharePoint sitesinin arkasında gizler ve güvenilir, tanınmış hizmetlerde C2 iletişimlerini gizlemek için Microsoft Graph API ile birlikte Havoc Demon’un değiştirilmiş bir sürümünü kullanır.” söz konusu Hacker News ile paylaşılan bir teknik raporda.
Saldırının başlangıç noktası, açıldığında, kullanıcıları terminallerine veya PowerShell’e kopyalamak ve yürütmek için tıklama ve yürütmek için ClickFix tekniğini kullanan bir hata mesajı görüntüleyen bir HTML eki (“Documents.html”) içeren bir kimlik avı e-postasıdır.
Komut, düşman kontrollü bir SharePoint sunucusunda barındırılan bir PowerShell komut dosyasını indirmek ve yürütmek için tasarlanmıştır. Yeni indirilen PowerShell, sistemde zaten mevcut değilse, Python tercümanını (“Pythonw.exe”) indirmeye devam etmeden önce kum havuzu ortamında çalıştırılıp çalıştırılmadığını kontrol eder.
Bir sonraki adım, aynı SharePoint konumundan bir Python komut dosyası getirmeyi ve yürütmeyi içerir. KaynldrC ve ASM’de yazılmış bir yansıtıcı yükleyici, gömülü bir DLL başlatabilen, bu konuda Tahribat iblis ajanı Enfekte konakta.
“Tehdit oyuncusu, iyi bilinen hizmetler içinde C2 iletişimini gizlemek için Microsoq Graph API ile birlikte tahribat kullanıyor.”
Geliştirme, Malwarebebytes’in tehdit aktörlerinin, ödün verilebilecek reklamveren hesapları aracılığıyla sunulan sahte reklamlarla PayPal müşterilerini hedeflemek için Google Reklamları politikalarında bilinen bir boşluktan yararlanmaya devam ettiğini ortaya koyuyor.
Reklamlar, hesap sorunları veya ödeme endişeleri ile ilgili yardım arayan kurbanları, kişisel ve finansal bilgilerini teslim etmeleriyle sonuçlanan hileli bir sayı çağırmaya çalışırlar.
“Google’ın politikaları içindeki bir zayıflık iniş sayfaları (olarak da bilinir Son URL’ler), herkesin açılış sayfası ve URL’si (bir reklamda gösterilen web sayfası) görüntülediği sürece herkesin popüler web sitelerini taklit etmesine izin verir. söz konusu.
“Teknik destek dolandırıcıları, özellikle herhangi bir çevrimiçi yardım veya müşteri hizmeti söz konusu olduğunda, en popüler Google arama terimlerinin üzerinde dolaşan akbabalar gibidir.”
