Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos usan ClickFix Trick para implementar HAVOC C2 basado en PowerShell a través de los sitios de SharePoint
  • Tecnología

Los piratas informáticos usan ClickFix Trick para implementar HAVOC C2 basado en PowerShell a través de los sitios de SharePoint

teknomers 3 de Mart de 2025 (Last updated: 3 de Mart de 2025) 3 minutes read
Los piratas informáticos usan ClickFix Trick para implementar HAVOC C2


03 de marzo de 2025Ravie LakshmananCibercrimen / malware

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing que emplea la técnica ClickFix para ofrecer un marco de comando y control de código abierto (C2) llamado HAVOC.

“El actor de amenaza oculta cada etapa de malware detrás de un sitio de SharePoint y utiliza una versión modificada de Havoc Demon junto con la API de Microsoft Graph para oscurecer las comunicaciones C2 dentro de los servicios confiables y conocidos”, Fortinet ForeGuard Labs dicho En un informe técnico compartido con Hacker News.

El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo adjunto HTML (“Documents.html”) que, cuando se abre, muestra un mensaje de error, que utiliza la técnica ClickFix para engañar a los usuarios para copiar y ejecutar un comando de PowerShell malicioso en su terminal o PowerShell, lo que provoca la siguiente etapa.

Ciberseguridad

El comando está diseñado para descargar y ejecutar un script PowerShell alojado en un servidor SharePoint controlado por adversario. El recién descargado PowerShell verifica si se ejecuta dentro de un entorno de sandboxed antes de continuar con el intérprete de Python (“pythonw.exe”), si aún no está presente en el sistema.

Havoc C2 a través de sitios de SharePoint

El siguiente paso implica obtener y ejecutar un script de Python desde la misma ubicación de SharePoint que sirve como cargador de código de shell Kaynldrun cargador reflexivo escrito en C y ASM que es capaz de lanzar una DLL incrustada, en esto el Havoc Demon Agent en el anfitrión infectado.

“El actor de amenazas usa Havoc junto con la API del gráfico de MicrosOQ para ocultar la comunicación C2 dentro de los servicios bien conocidos”, dijo Fortinet, y agregó que el marco admite características para recopilar información, realizar operaciones de archivos, así como llevar a cabo la ejecución de comando y carga útil, manipulación de token y ataques de Kerberos.

El desarrollo se produce cuando Malwarebytes reveló que los actores de amenaza continúan explotando una escapatoria conocida en las políticas de anuncios de Google para dirigir a los clientes de PayPal con anuncios falsos atendidos a través de cuentas anunciantes que pueden haber sido comprometidas.

Ciberseguridad

Los anuncios buscan engañar a las víctimas que buscan asistencia relacionadas con problemas de cuentas o preocupaciones de pago para llamar a un número fraudulento que probablemente termine con ellos entregando su información personal y financiera.

“Una debilidad en las políticas de Google para páginas de destino (también conocido como URL finales), permite a cualquier persona hacerse pasar por sitios web populares siempre que la página de destino y la URL muestren (la página web que se muestra en un anuncio) comparta el mismo dominio “, Jérôme Segura, director senior de investigación en MalwareBytes, dicho.

“Los estafadores de soporte técnico son como buitres dando vueltas por encima de los términos de búsqueda de Google más populares, especialmente cuando se trata de cualquier tipo de asistencia en línea o servicio al cliente”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Bundesliga de fútbol: elfo del día 23 del partido – "Portero" impresionar
Next: Adquisición de farmacias CM completadas por multipharma

Related Stories

A pesar del éxito del nuevo Assassin's Creed Black Flag,
  • Tecnología

A pesar del éxito del nuevo Assassin’s Creed Black Flag, Ubisoft recorta (nuevamente) su plantilla

teknomers 12 de Temmuz de 2026
Ofertas de verano: estas 20 promociones podrían no estar en
  • Tecnología

Ofertas de verano: estas 20 promociones podrían no estar en línea por mucho tiempo este fin de semana

teknomers 12 de Temmuz de 2026
Hannah Montana Linux renace 18 años después: la distribución icónica
  • Tecnología

Hannah Montana Linux renace 18 años después: la distribución icónica hace su gran regreso

teknomers 12 de Temmuz de 2026

You May Have Missed

Mundial: « En el interés superior del fútbol senegalés »,
  • Deporte

Mundial: « En el interés superior del fútbol senegalés », el seleccionador Pape Thiaw despedido

teknomers 12 de Temmuz de 2026
  • Deporte

Cuestionario de Teknomers: ¿Quién soy? Adivina al futbolista estrella de la Copa del Mundo número 35.

teknomers 12 de Temmuz de 2026
A pesar del éxito del nuevo Assassin's Creed Black Flag,
  • Tecnología

A pesar del éxito del nuevo Assassin’s Creed Black Flag, Ubisoft recorta (nuevamente) su plantilla

teknomers 12 de Temmuz de 2026
Tras un cáncer de colon, un episodio de coma y
  • salud

Tras un cáncer de colon, un episodio de coma y un trasplante de hígado, este tolosano brilla en el campeonato de Europa y regresa con dos medallas: “Nunca nos imaginamos vivir con una fecha de fin…”

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.