Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing que emplea la técnica ClickFix para ofrecer un entorno de comando y control de código campechano (C2) llamado HAVOC.
“El actor de amenazas oculta cada etapa de malware detrás de un sitio de SharePoint y utiliza una interpretación modificada de Havoc Demon unido con la API de Microsoft Graph para oscurecer las comunicaciones C2 adentro de servicios confiables y conocidos”, dijo Fortinet Foreguard Labs en un referencia técnico compartido con Hacker News.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo adjunto HTML (“Documents.html”) que, cuando se abre, muestra un mensaje de error, que utiliza la técnica ClickFix para engañar a los usuarios para copiar y ejecutar un comando de PowerShell zorro en su terminal o PowerShell, lo que provoca la sucesivo etapa.
El comando está diseñado para descargar y ejecutar un script PowerShell alojado en un servidor SharePoint controlado por adversario. El recién descargado PowerShell verifica si se ejecuta adentro de un entorno de sandboxed antaño de continuar con el intérprete de Python (“pythonw.exe”), si aún no está presente en el sistema.
El sucesivo paso consiste en obtener y ejecutar un script de Python desde la misma ubicación de SharePoint que sirve como cargador de código de shell para KaynLDR, un cargador reflectante escrito en C y ASM que es capaz de editar una DLL integrada, en esto el agente demoníaco de Havoc en el host infectado.
“El actor de amenazas usa Havoc unido con la API del expresivo de MicrosOQ para ocultar la comunicación C2 adentro de los servicios aceptablemente conocidos”, dijo Fortinet, y agregó que el entorno admite características para compilar información, realizar operaciones de archivos, así como sufrir a sitio la ejecución de comando y carga útil, manipulación de token y ataques de Kerberos.
El incremento se produce cuando Malwarebytes reveló que los actores de amenaza continúan explotando una pretexto conocida en las políticas de anuncios de Google para dirigir a los clientes de PayPal con anuncios falsos atendidos a través de cuentas anunciantes que pueden ocurrir sido comprometidas.
Los anuncios buscan engañar a las víctimas que buscan subvención relacionadas con problemas de cuentas o preocupaciones de cuota para seducir a un número fraudulento que probablemente termine con ellos entregando su información personal y financiera.
“Una afición adentro de las políticas de Google para las páginas de destino (además conocidas como URL finales), permite a cualquiera hacer ocurrir por sitios web populares siempre que la página de destino y la URL muestren (la página web que se muestra en un anuncio) comparta el mismo dominio”, dijo Jérôme Segura, director senior de investigaciones en MalwareBytes.
“Los estafadores de soporte técnico son como buitres dando vueltas por encima de los términos de búsqueda de Google más populares, especialmente cuando se negociación de cualquier tipo de subvención en raya o servicio al cliente”.
