Noul atac ClickFix implementează Havoc C2 prin Microsoft Sharepoint
Sursă: https://www.bleepingcomputer.com/
O campanie de phishing ClickFix recent dezvăluită păcălește utilizatorii să execute comenzi PowerShell malițioase ce implementează framework-ul de post-exploatare Havok pentru acces de la distanță la dispozitivele compromise.
ClickFix este o tactică de inginerie socială apărută anul trecut, prin care persoanele rău intenționate creează site-uri web sau atașamente de phishing ce afișează erori false și apoi solicită utilizatorului să acceseze un buton pentru a le remedia.
În urma accesării butonului, se copiază o comandă PowerShell malițioasă în clipboard-ul Windows, pe care utilizatorii sunt apoi invitați să o insereze într-un prompt de comandă pentru a „remedia” eroarea.
Cu toate acestea, așa cum era de așteptat, comanda PowerShell malițioasă va executa în schimb un script găzduit pe un site la distanță care descarcă și instalează programe malware pe dispozitive.
Într-o nouă campanie ClickFix, persoanele rău intenționate trimit e-mailuri de phishing în care se menționează că o „notificare restricționată” este disponibilă pentru analiză și că destinatarii trebuie să deschidă documentul HTML atașat (Documents.html) pentru a-l vizualiza.
Conform specialiștilor, scriptul verifică dacă dispozitivul se află într-un mediu sandbox prin interogarea numărului de dispozitive din domeniul Windows. Dacă se stabilește că dispozitivul se află într-un mediu sandbox, scriptul se va încheia.
În caz contrar, scriptul va modifica registrul Windows pentru a adăuga o valoare care indică faptul că scriptul a fost executat pe dispozitiv. Se va verifica apoi dacă Python este instalat pe dispozitiv și, dacă nu, se va instala interpretorul.
În cele din urmă, un script Python este descărcat de pe același site SharePoint și executat pentru a implementa framework-ul de comandă și control post-exploatare Havoc ca DLL injectat.
Havoc este un framework post-exploatare open-source similar cu Cobalt Strike, care permite atacatorilor să controleze de la distanță dispozitivele compromise.
În această campanie, Havok este configurat pentru a comunica înapoi cu serviciile atacatorului prin API-ul Microsoft Graph, încorporând traficul rău intenționat în serviciile cloud legitime. În acest fel, atacatorii se infiltrează în comunicațiile de rețea obișnuite pentru a evita detectarea.
Programul malware utilizează API-urile SharePoint pe Microsoft Graph pentru a trimite și a primi comenzi, transformând efectiv contul SharePoint al atacatorului într-un sistem de schimb de date.
Sursă: https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/
