Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a de phishing que emplea la t\u00e9cnica ClickFix para ofrecer un marco de comando y control de c\u00f3digo abierto (C2) llamado HAVOC.<\/p>\n
“El actor de amenaza oculta cada etapa de malware detr\u00e1s de un sitio de SharePoint y utiliza una versi\u00f3n modificada de Havoc Demon junto con la API de Microsoft Graph para oscurecer las comunicaciones C2 dentro de los servicios confiables y conocidos”, Fortinet ForeGuard Labs dicho<\/a> En un informe t\u00e9cnico compartido con Hacker News.<\/p>\n El punto de partida del ataque es un correo electr\u00f3nico de phishing que contiene un archivo adjunto HTML (“Documents.html”) que, cuando se abre, muestra un mensaje de error, que utiliza la t\u00e9cnica ClickFix para enga\u00f1ar a los usuarios para copiar y ejecutar un comando de PowerShell malicioso en su terminal o PowerShell, lo que provoca la siguiente etapa.<\/p>\n El comando est\u00e1 dise\u00f1ado para descargar y ejecutar un script PowerShell alojado en un servidor SharePoint controlado por adversario. El reci\u00e9n descargado PowerShell verifica si se ejecuta dentro de un entorno de sandboxed antes de continuar con el int\u00e9rprete de Python (“pythonw.exe”), si a\u00fan no est\u00e1 presente en el sistema.<\/p>\n El siguiente paso implica obtener y ejecutar un script de Python desde la misma ubicaci\u00f3n de SharePoint que sirve como cargador de c\u00f3digo de shell Kaynldr<\/a>un cargador reflexivo escrito en C y ASM que es capaz de lanzar una DLL incrustada, en esto el Havoc Demon Agent<\/a> en el anfitri\u00f3n infectado.<\/p>\n “El actor de amenazas usa Havoc junto con la API del gr\u00e1fico de MicrosOQ para ocultar la comunicaci\u00f3n C2 dentro de los servicios bien conocidos”, dijo Fortinet, y agreg\u00f3 que el marco admite caracter\u00edsticas para recopilar informaci\u00f3n, realizar operaciones de archivos, as\u00ed como llevar a cabo la ejecuci\u00f3n de comando y carga \u00fatil, manipulaci\u00f3n de token y ataques de Kerberos.<\/p>\n El desarrollo se produce cuando Malwarebytes revel\u00f3 que los actores de amenaza contin\u00faan explotando una escapatoria conocida en las pol\u00edticas de anuncios de Google para dirigir a los clientes de PayPal con anuncios falsos atendidos a trav\u00e9s de cuentas anunciantes que pueden haber sido comprometidas.<\/p>\n Los anuncios buscan enga\u00f1ar a las v\u00edctimas que buscan asistencia relacionadas con problemas de cuentas o preocupaciones de pago para llamar a un n\u00famero fraudulento que probablemente termine con ellos entregando su informaci\u00f3n personal y financiera.<\/p>\n “Una debilidad en las pol\u00edticas de Google para p\u00e1ginas de destino<\/a> (tambi\u00e9n conocido como URL finales<\/a>), permite a cualquier persona hacerse pasar por sitios web populares siempre que la p\u00e1gina de destino y la URL muestren (la p\u00e1gina web que se muestra en un anuncio) comparta el mismo dominio “, J\u00e9r\u00f4me Segura, director senior de investigaci\u00f3n en MalwareBytes, dicho<\/a>.<\/p>\n “Los estafadores de soporte t\u00e9cnico son como buitres dando vueltas por encima de los t\u00e9rminos de b\u00fasqueda de Google m\u00e1s populares, especialmente cuando se trata de cualquier tipo de asistencia en l\u00ednea o servicio al cliente”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-piratas-informaticos-usan-ClickFix-Trick-para-implementar-HAVOC-C2.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n