Havoc-Phishing-Angriff
Cybersicherheitsforscher haben eine neue Phishing-Kampagne aufgedeckt, die die ClickFix-Technik nutzt, um Havoc einzusetzen, ein Open-Source-Command-and-Control-Framework (C2). Die Angreifer verbergen Malware-Phasen geschickt hinter einer SharePoint-Site und verwenden eine modifizierte Version des Havoc Demon zusammen mit der Microsoft Graph API, um die Kommunikation innerhalb legitimer Dienste zu verschleiern.
Inhaltsverzeichnis
Die Phishing-Falle: Eine betrügerische E-Mail und ClickFix-Manipulation
Der Angriff wird durch eine Phishing-E-Mail ausgelöst, die einen HTML-Anhang namens Documents.html enthält. Beim Öffnen der Datei wird eine Fehlermeldung angezeigt, die das Opfer dazu verleitet, einen manipulierten PowerShell-Befehl zu kopieren und auszuführen. Diese als ClickFix bekannte Technik täuscht Benutzer vor, sie müssten ein OneDrive-Verbindungsproblem beheben, indem sie ihren DNS-Cache manuell aktualisieren.
Wenn das Opfer auf den Trick hereinfällt, leitet es versehentlich den Infektionsprozess ein, indem es ein PowerShell-Skript ausführt, das eine Verbindung zu einem vom Angreifer kontrollierten SharePoint-Server herstellt.
Mehrstufige Malware-Bereitstellung: Von PowerShell bis Python
Sobald das unsichere PowerShell-Skript ausgeführt wird, prüft es zunächst, ob die Umgebung in einer Sandbox ausgeführt wird, um einer Erkennung zu entgehen. Wenn es als sicher erachtet wird, lädt das Skript Python ('pythonw.exe') herunter, sofern es noch nicht auf dem System installiert wurde.
Von dort holt ein zweites PowerShell-Skript einen Python-basierten Shellcode-Loader und führt ihn aus. Dieser startet dann KaynLdr, einen in C und Assembler geschriebenen Reflective Loader. Dadurch wird letztendlich der Havoc Demon-Agent auf der infizierten Maschine installiert.
Die Fähigkeiten von Havoc: Eine getarnte Cyberwaffe
Die Angreifer verwenden Havoc in Verbindung mit der Microsoft Graph API, um C2-Verkehr innerhalb bekannter, vertrauenswürdiger Dienste zu verbergen. Zu den Funktionen von Havoc gehören:
- Informationsbeschaffung
- Dateioperationen
- Befehlsausführung
- Payload-Ausführung
- Token-Manipulation
- Kerberos-Angriffe
Google-Werbung wird ausgenutzt, um PayPal-Nutzer anzusprechen
In einer separaten, aber dennoch besorgniserregenden Entwicklung haben Cybersicherheitsexperten außerdem beobachtet, dass Bedrohungsakteure die Google Ads-Richtlinien ausnutzen, um PayPal-Benutzer mit betrügerischer Werbung anzusprechen.
Diese Taktik funktioniert, indem sie legitime PayPal-Supportseiten imitieren und Benutzer dazu verleiten, eine falsche Kundendienstnummer anzurufen. Ziel ist es, die persönlichen und finanziellen Daten der Opfer zu sammeln, indem man sie davon überzeugt, dass sie mit legitimen PayPal-Vertretern sprechen.
Google-Anzeigen-Schlupfloch: Ein Spielplatz für Betrüger
Der Erfolg dieser technischen Supporttaktiken hängt von einer Lücke in den Google Ads-Richtlinien ab, die es Betrügern ermöglicht, sich als bekannte Marken auszugeben. Solange die Zielseite (finale URL) und die angezeigte URL mit derselben Domain übereinstimmen, können Betrüger überzeugende gefälschte Anzeigen erstellen.
Cyberkriminelle nutzen häufig verwendete Suchbegriffe aus, insbesondere solche im Zusammenhang mit Kundensupport und Kontowiederherstellung, und sorgen so dafür, dass ihre betrügerischen Anzeigen ganz oben in den Suchergebnissen erscheinen.
Fazit: Eine wachsende Bedrohungslandschaft
Von ClickFix-gestützten Phishing-Kampagnen bis hin zum Missbrauch von Google Ads – Cyberkriminelle verfeinern ihre Social-Engineering-Taktiken ständig. Diese Bedrohungen unterstreichen die Bedeutung von Wachsamkeit, Benutzerbewusstsein und verbesserten Sicherheitsmaßnahmen, um die Risiken durch sich entwickelnde Cyberangriffe zu mindern.
