Siber güvenlik araştırmacıları, Havoc adı verilen açık kaynaklı komut ve kontrol (C2) çerçevesi sunmak için ClickFix tekniğini kullanan yeni bir kimlik avı kampanyasına dikkat çekiyorlar.
Fortinet Foreguard Labs, “Tehdit oyuncusu bir SharePoint sitesinin arkasındaki her kötü amaçlı yazılım sitesinin bir SharePoint sitesinin arkasında gizleniyor ve Microsoft Graph API ile birlikte Microsoft Graph API ile birlikte değiştirilmiş bir sürümünü kullanıyor.” Dedi.
Saldırının başlangıç noktası, açıldığında, kullanıcıları terminallerine veya PowerShell’e kopyalamak ve yürütmek için tıklama ve yürütmek için ClickFix tekniğini kullanan bir hata mesajı görüntüleyen bir HTML eki (“Documents.html”) içeren bir kimlik avı e-postasıdır.
Komut, düşman kontrollü bir SharePoint sunucusunda barındırılan bir PowerShell komut dosyasını indirmek ve yürütmek için tasarlanmıştır. Yeni indirilen PowerShell, sistemde zaten mevcut değilse, Python tercümanını (“Pythonw.exe”) indirmeye devam etmeden önce kum havuzu ortamında çalıştırılıp çalıştırılmadığını kontrol eder.
Bir sonraki adım, C ve ASM’de yazılmış bir yansıtıcı yükleyici olan Kaynldr için bir kabuk kodu yükleyici olarak hizmet eden bir Python komut dosyasının getirilmesini ve yürütülmesini içerir, bu da enfekte konakçıdaki bu Havoc Demon ajanında yerleşik bir DLL başlatabilir.
“Tehdit oyuncusu, iyi bilinen hizmetler içinde C2 iletişimini gizlemek için Microsoq Graph API ile birlikte tahribat kullanıyor.”
Geliştirme, Malwarebebytes’in tehdit aktörlerinin, ödün verilebilecek reklamveren hesapları aracılığıyla sunulan sahte reklamlarla PayPal müşterilerini hedeflemek için Google Reklamları politikalarında bilinen bir boşluktan yararlanmaya devam ettiğini ortaya koyuyor.
Reklamlar, hesap sorunları veya ödeme endişeleri ile ilgili yardım arayan kurbanları, kişisel ve finansal bilgilerini teslim etmeleriyle sonuçlanan hileli bir sayı çağırmaya çalışırlar.
Malwarebebytes Kıdemli Direktörü Jérôme Segura, “Google’ın iniş sayfaları (son URL’ler olarak da bilinir) politikalarında bir zayıflık, MalwareBebytes Araştırma Kıdemli Direktörü Jérôme Segura, Jérôme Segura,” Nihai URL’ler olarak da bilinir), herkesin popüler web sitelerini taklit etmesine izin veriyor. “Dedi.
“Teknik destek dolandırıcıları, özellikle herhangi bir çevrimiçi yardım veya müşteri hizmeti söz konusu olduğunda, en popüler Google arama terimlerinin üzerinde dolaşan akbabalar gibidir.”