Фишинговая атака начинается с рассылки электронного письма, содержащего HTML-вложение "Documents.html", при открытии которого появляется сообщение об ошибке, побуждая пользователя скопировать и выполнить команду PowerShell с использованием техники ClickFix.
Скопированная команда, запущенная в терминале PowerShell, инициирует загрузку скрипта, размещённого на сервере SharePoint под контролем злоумышленников, что переводит атаку на следующий уровень.
Загруженный скрипт выполняет проверку на выполнение в sandbox-среде и, при отсутствии ограничений и недоступности интерпретатора Python (файл "pythonw.exe"), автоматически загружает его для продолжения атакующих операций.
После установки требуемых компонентов с сервера SharePoint запускается Python-скрипт, который выполняет роль загрузчика shellcode для инструмента KaynLdr — отражающего загрузчика, написанного на языках C и ASM, способного инициировать выполнение встроенной DLL, представляющей агент Havoc Demon на заражённом устройстве.
Атака базируется на использовании командно-контрольного фреймворка Havoc C2 (в модифицированном варианте известного как Havoc Demon), предоставляющего возможности по сбору информации, выполнению файловых операций, запуску команд и полезных нагрузок, а также по манипуляциям с токенами и проведению атак через протокол Kerberos.
Обмен служебными командами и сокрытие C2-трафика осуществляется посредством интеграции Microsoft Graph API, что позволяет злоумышленникам маскировать вредоносные коммуникации в рамках доверенных сервисов.
Детальный анализ атаки предоставлен аналитиками Fortinet ForEGuard Labs, которые в отчёте для The Hacker News подчеркнули использование сайтов SharePoint для сокрытия каждого этапа вредоносной кампании, а также применение модифицированной версии Havoc Demon.
Дополнительно Malwarebytes выявила эксплойт, связанный с уязвимостью в политике Google Ads, посредством которой злоумышленники нацеливаются на клиентов PayPal, используя поддельные рекламные объявления скомпрометированных аккаунтов для направления жертв на мошеннические телефонные линии с целью получения личных и финансовых данных.
Как отметил Jérôme Segura, старший директор по исследованиям Malwarebytes, «Слабость в политике Google для целевых страниц позволяет любому выдавать себя за популярные веб-сайты. Мошенники, выдающие себя за техподдержку, кружат над самыми востребованными поисковыми запросами Google, особенно когда речь идёт о вопросах онлайн-помощи и обслуживания клиентов.»
Изображение носит иллюстративный характер
Скопированная команда, запущенная в терминале PowerShell, инициирует загрузку скрипта, размещённого на сервере SharePoint под контролем злоумышленников, что переводит атаку на следующий уровень.
Загруженный скрипт выполняет проверку на выполнение в sandbox-среде и, при отсутствии ограничений и недоступности интерпретатора Python (файл "pythonw.exe"), автоматически загружает его для продолжения атакующих операций.
После установки требуемых компонентов с сервера SharePoint запускается Python-скрипт, который выполняет роль загрузчика shellcode для инструмента KaynLdr — отражающего загрузчика, написанного на языках C и ASM, способного инициировать выполнение встроенной DLL, представляющей агент Havoc Demon на заражённом устройстве.
Атака базируется на использовании командно-контрольного фреймворка Havoc C2 (в модифицированном варианте известного как Havoc Demon), предоставляющего возможности по сбору информации, выполнению файловых операций, запуску команд и полезных нагрузок, а также по манипуляциям с токенами и проведению атак через протокол Kerberos.
Обмен служебными командами и сокрытие C2-трафика осуществляется посредством интеграции Microsoft Graph API, что позволяет злоумышленникам маскировать вредоносные коммуникации в рамках доверенных сервисов.
Детальный анализ атаки предоставлен аналитиками Fortinet ForEGuard Labs, которые в отчёте для The Hacker News подчеркнули использование сайтов SharePoint для сокрытия каждого этапа вредоносной кампании, а также применение модифицированной версии Havoc Demon.
Дополнительно Malwarebytes выявила эксплойт, связанный с уязвимостью в политике Google Ads, посредством которой злоумышленники нацеливаются на клиентов PayPal, используя поддельные рекламные объявления скомпрометированных аккаунтов для направления жертв на мошеннические телефонные линии с целью получения личных и финансовых данных.
Как отметил Jérôme Segura, старший директор по исследованиям Malwarebytes, «Слабость в политике Google для целевых страниц позволяет любому выдавать себя за популярные веб-сайты. Мошенники, выдающие себя за техподдержку, кружат над самыми востребованными поисковыми запросами Google, особенно когда речь идёт о вопросах онлайн-помощи и обслуживания клиентов.»
