HackerNews 编译,转载请注明出处:
网络安全研究人员近日指出,一种新的网络钓鱼活动正在利用 ClickFix 技巧来传递一个名为 Havoc 的开源命令与控制(C2)框架。
“威胁行为者将每个恶意软件阶段隐藏在 SharePoint 站点之后,并使用修改版的 Havoc Demon 与 Microsoft Graph API 结合,以在受信任的知名服务中隐藏 C2 通信,”Fortinet ForEGuard Labs 在一份与《黑客新闻》共享的技术报告中表示。
此次攻击的起点是一封包含 HTML 附件(“Documents.html”)的网络钓鱼邮件,当用户打开该附件时,会显示一条错误消息,该消息利用 ClickFix 技巧诱骗用户将恶意 PowerShell 命令复制并粘贴到终端或 PowerShell 中执行,从而触发下一阶段的攻击。
该命令旨在下载并执行托管在攻击者控制的 SharePoint 服务器上的 PowerShell 脚本。新下载的 PowerShell 会检查其是否在沙盒环境中运行,然后才会继续下载 Python 解释器(“pythonw.exe”),如果系统中尚未存在该解释器的话。
通过 SharePoint 站点部署 Havoc C2
接下来的步骤是从同一个 SharePoint 位置获取并执行一个 Python 脚本,该脚本作为 KaynLdr 的 shellcode 加载器,KaynLdr 是一个用 C 和 ASM 编写的反射加载器,能够启动嵌入的 DLL,即在此情况下在受感染主机上启动 Havoc Demon 代理。
“威胁行为者使用 Havoc 与 Microsoft Graph API 结合,以在知名服务中隐藏 C2 通信,”Fortinet 表示,并补充说该框架支持收集信息、执行文件操作、命令和有效载荷执行、令牌操作以及 Kerberos 攻击等功能。
与此同时,Malwarebytes 揭示了威胁行为者继续利用 Google Ads 政策中的已知漏洞,通过可能已被攻陷的广告商账户投放针对 PayPal 客户的虚假广告。
这些广告旨在诱骗那些搜索与账户问题或支付问题相关的帮助的受害者拨打一个欺诈电话,最终可能导致他们交出个人和财务信息。
“Google 登陆页面(也称为最终 URL)政策中的一个弱点,允许任何人只要登陆页面和显示 URL(广告中显示的网页)属于同一域名,就可以冒充热门网站,”Malwarebytes 研究高级总监 Jérôme Segura 说道。
“黑客们就像秃鹫一样,盘旋在最热门的 Google 搜索词之上,尤其是在涉及任何在线帮助或客户服务时。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
