Peneliti cybersecurity meminta perhatian pada kampanye phishing baru yang menggunakan teknik clickFix untuk memberikan kerangka kerja dan kontrol komando open-source (C2) yang disebut Havoc.
“Aktor ancaman menyembunyikan setiap tahap malware di belakang situs SharePoint dan menggunakan versi modifikasi Havoc Demon bersama dengan Microsoft Graph API untuk mengaburkan komunikasi C2 dalam layanan tepercaya, terkenal,” kata Fortinet Foreguard Labs dalam sebuah laporan teknis yang dibagikan dengan berita peretas.
Titik awal serangan adalah email phishing yang berisi lampiran HTML (“Documents.html”) yang, ketika dibuka, menampilkan pesan kesalahan, yang menggunakan teknik clickFix untuk menipu pengguna ke dalam menyalin dan melaksanakan perintah Powershell jahat ke terminal atau powershell mereka, sehingga memicu tahap berikutnya.
Perintah ini dirancang untuk mengunduh dan menjalankan skrip PowerShell yang di-host pada server SharePoint yang dikendalikan oleh musuh. PowerShell yang baru diunduh memeriksa apakah dijalankan dalam lingkungan kotak pasir sebelum melanjutkan untuk mengunduh interpreter Python (“pythonw.exe”), jika belum ada dalam sistem.
Langkah selanjutnya melibatkan mengambil dan mengeksekusi skrip Python dari lokasi SharePoint yang sama yang berfungsi sebagai pemuat shellcode untuk Kaynldr, loader reflektif yang ditulis dalam C dan ASM yang mampu meluncurkan DLL yang tertanam, dalam hal ini agen iblis Havoc pada tuan rumah yang terinfeksi.
“Aktor ancaman menggunakan Havoc bersama dengan Microsoq Graph API untuk menyembunyikan komunikasi C2 dalam layanan terkenal,” kata Fortinet, menambahkan kerangka kerja dukungan fitur untuk mengumpulkan informasi, melakukan operasi file, serta melakukan eksekusi perintah dan muatan, manipulasi token, dan serangan Kerberos.
Pengembangan datang ketika Malwarebytes mengungkapkan bahwa aktor ancaman terus mengeksploitasi celah yang diketahui dalam kebijakan ADS Google untuk menargetkan pelanggan PayPal dengan iklan palsu yang dilayani melalui akun pengiklan yang mungkin telah dikompromikan.
Iklan berupaya menipu para korban yang mencari bantuan yang terkait dengan masalah akun atau masalah pembayaran untuk memanggil nomor curang yang kemungkinan berakhir dengan mereka menyerahkan informasi pribadi dan keuangan mereka.
“Kelemahan dalam kebijakan Google untuk halaman arahan (juga dikenal sebagai URL akhir), memungkinkan siapa saja untuk menyamar sebagai situs web populer selama halaman arahan dan menampilkan URL (halaman web yang ditampilkan dalam sebuah iklan) berbagi domain yang sama,” Jérôme Segura, direktur senior penelitian di Malwarbytes, mengatakan.
“Scammers dukungan teknis seperti burung nasar yang berputar di atas istilah pencarian Google yang paling populer, terutama ketika datang ke segala jenis bantuan online atau layanan pelanggan.”
