Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing que emplea la técnica ClickFix para ofrecer un marco de comando y control de código abierto (C2) llamado HAVOC.
“El actor de amenaza oculta cada etapa de malware detrás de un sitio de SharePoint y utiliza una versión modificada de Havoc Demon junto con la API de Microsoft Graph para oscurecer las comunicaciones C2 dentro de los servicios confiables y conocidos”, Fortinet ForeGuard Labs dicho En un informe técnico compartido con Hacker News.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo adjunto HTML (“Documents.html”) que, cuando se abre, muestra un mensaje de error, que utiliza la técnica ClickFix para engañar a los usuarios para copiar y ejecutar un comando de PowerShell malicioso en su terminal o PowerShell, lo que provoca la siguiente etapa.
El comando está diseñado para descargar y ejecutar un script PowerShell alojado en un servidor SharePoint controlado por adversario. El recién descargado PowerShell verifica si se ejecuta dentro de un entorno de sandboxed antes de continuar con el intérprete de Python (“pythonw.exe”), si aún no está presente en el sistema.
El siguiente paso implica obtener y ejecutar un script de Python desde la misma ubicación de SharePoint que sirve como cargador de código de shell Kaynldrun cargador reflexivo escrito en C y ASM que es capaz de lanzar una DLL incrustada, en esto el Havoc Demon Agent en el anfitrión infectado.
“El actor de amenazas usa Havoc junto con la API del gráfico de MicrosOQ para ocultar la comunicación C2 dentro de los servicios bien conocidos”, dijo Fortinet, y agregó que el marco admite características para recopilar información, realizar operaciones de archivos, así como llevar a cabo la ejecución de comando y carga útil, manipulación de token y ataques de Kerberos.
El desarrollo se produce cuando Malwarebytes reveló que los actores de amenaza continúan explotando una escapatoria conocida en las políticas de anuncios de Google para dirigir a los clientes de PayPal con anuncios falsos atendidos a través de cuentas anunciantes que pueden haber sido comprometidas.
Los anuncios buscan engañar a las víctimas que buscan asistencia relacionadas con problemas de cuentas o preocupaciones de pago para llamar a un número fraudulento que probablemente termine con ellos entregando su información personal y financiera.
“Una debilidad en las políticas de Google para páginas de destino (también conocido como URL finales), permite a cualquier persona hacerse pasar por sitios web populares siempre que la página de destino y la URL muestren (la página web que se muestra en un anuncio) comparta el mismo dominio “, Jérôme Segura, director senior de investigación en MalwareBytes, dicho.
“Los estafadores de soporte técnico son como buitres dando vueltas por encima de los términos de búsqueda de Google más populares, especialmente cuando se trata de cualquier tipo de asistencia en línea o servicio al cliente”.
About the Author
