Ssylka

Фишинг через SharePoint: Havoc C2 и ClickFix

Фишинговая атака начинается с рассылки электронного письма, содержащего HTML-вложение "Documents.html", при открытии которого появляется сообщение об ошибке, побуждая пользователя скопировать и выполнить команду PowerShell с использованием техники ClickFix.
Фишинг через SharePoint: Havoc C2 и ClickFix
Изображение носит иллюстративный характер

Скопированная команда, запущенная в терминале PowerShell, инициирует загрузку скрипта, размещённого на сервере SharePoint под контролем злоумышленников, что переводит атаку на следующий уровень.

Загруженный скрипт выполняет проверку на выполнение в sandbox-среде и, при отсутствии ограничений и недоступности интерпретатора Python (файл "pythonw.exe"), автоматически загружает его для продолжения атакующих операций.

После установки требуемых компонентов с сервера SharePoint запускается Python-скрипт, который выполняет роль загрузчика shellcode для инструмента KaynLdr — отражающего загрузчика, написанного на языках C и ASM, способного инициировать выполнение встроенной DLL, представляющей агент Havoc Demon на заражённом устройстве.

Атака базируется на использовании командно-контрольного фреймворка Havoc C2 (в модифицированном варианте известного как Havoc Demon), предоставляющего возможности по сбору информации, выполнению файловых операций, запуску команд и полезных нагрузок, а также по манипуляциям с токенами и проведению атак через протокол Kerberos.

Обмен служебными командами и сокрытие C2-трафика осуществляется посредством интеграции Microsoft Graph API, что позволяет злоумышленникам маскировать вредоносные коммуникации в рамках доверенных сервисов.

Детальный анализ атаки предоставлен аналитиками Fortinet ForEGuard Labs, которые в отчёте для The Hacker News подчеркнули использование сайтов SharePoint для сокрытия каждого этапа вредоносной кампании, а также применение модифицированной версии Havoc Demon.

Дополнительно Malwarebytes выявила эксплойт, связанный с уязвимостью в политике Google Ads, посредством которой злоумышленники нацеливаются на клиентов PayPal, используя поддельные рекламные объявления скомпрометированных аккаунтов для направления жертв на мошеннические телефонные линии с целью получения личных и финансовых данных.

Как отметил Jérôme Segura, старший директор по исследованиям Malwarebytes, «Слабость в политике Google для целевых страниц позволяет любому выдавать себя за популярные веб-сайты. Мошенники, выдающие себя за техподдержку, кружат над самыми востребованными поисковыми запросами Google, особенно когда речь идёт о вопросах онлайн-помощи и обслуживания клиентов.»


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?