Hackers usam técnica ClickFix para implantar Havoc C2 via SharePoint

Campanha de phishing explora SharePoint para ocultar malware em comunicações legítimas

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha de phishing que utiliza a técnica ClickFix para distribuir um framework de comando e controle (C2) de código aberto chamado Havoc.

"O hacker esconde cada estágio do malware por trás de um site SharePoint e usa uma versão modificada do Havoc Demon em conjunto com a API Microsoft Graph para disfarçar as comunicações C2 dentro de serviços conhecidos e confiáveis", afirmou o Fortinet FortiGuard Labs em um relatório técnico.

O ataque começa com um e-mail de phishing contendo um anexo HTML (Documents.html). Quando aberto, esse arquivo exibe uma mensagem de erro e utiliza a técnica ClickFix para enganar a vítima, levando-a a copiar e executar um comando malicioso no PowerShell. Esse comando inicializa a segunda fase do ataque.

O código malicioso baixa e executa um script PowerShell hospedado em um servidor SharePoint controlado pelos hackers. O script verifica se o ambiente é uma sandbox (mecanismo de segurança usado para testes) antes de prosseguir. Se o ambiente for seguro, o script faz o download do interpretador Python (pythonw.exe), caso ele não esteja presente no sistema.

Em seguida, o malware recupera e executa um script Python do mesmo servidor SharePoint. Esse script atua como um carregador de shellcode para o KaynLdr, um reflective loader escrito em C e Assembly. O KaynLdr então carrega uma DLL embarcada que instala o agente Havoc Demon no dispositivo infectado.

"O hacker usa o Havoc em conjunto com a API Microsoft Graph para mascarar as comunicações C2 dentro de serviços amplamente confiáveis", destacou a Fortinet. O framework Havoc possui funcionalidades para coletar informações, manipular arquivos, executar comandos e cargas maliciosas, além de realizar ataques envolvendo manipulação de tokens e exploração do protocolo Kerberos.

Anúncios falsos no Google continuam sendo usados para roubo de credenciais

Enquanto isso, uma investigação da Malwarebytes revelou que hackers continuam explorando uma brecha nas políticas do Google Ads para atacar clientes do PayPal com anúncios falsos.

Os criminosos veiculam anúncios fraudulentos utilizando contas comprometidas de anunciantes. Esses anúncios aparecem para usuários que buscam ajuda para problemas com suas contas ou pagamentos, levando-os a ligar para números de suporte falsos. Uma vez em contato, as vítimas são convencidas a fornecer informações pessoais e financeiras.

"Uma fraqueza nas políticas do Google para páginas de destino (URLs finais) permite que qualquer pessoa se passe por sites populares, desde que o domínio da página exibida no anúncio e a URL de destino sejam os mesmos", explicou Jérôme Segura, diretor sênior de pesquisa da Malwarebytes.

Segundo Segura, "golpistas de suporte técnico agem como abutres, circulando sobre os termos de busca mais populares, especialmente aqueles relacionados a suporte online e atendimento ao cliente".

Via - THN