Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing que emplea la técnica ClickFix para ofrecer un marco de comando y control de código abierto (C2) llamado HAVOC.
«El actor de amenazas oculta cada etapa de malware detrás de un sitio de SharePoint y utiliza una versión modificada de Havoc Demon junto con la API de Microsoft Graph para oscurecer las comunicaciones C2 dentro de servicios confiables y conocidos», dijo Fortinet Foreguard Labs en un informe técnico compartido con Hacker News.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo adjunto HTML («Documents.html») que, cuando se abre, muestra un mensaje de error, que utiliza la técnica ClickFix para engañar a los usuarios para copiar y ejecutar un comando de PowerShell malicioso en su terminal o PowerShell, lo que provoca la siguiente etapa.
El comando está diseñado para descargar y ejecutar un script PowerShell alojado en un servidor SharePoint controlado por adversario. El recién descargado PowerShell verifica si se ejecuta dentro de un entorno de sandboxed antes de continuar con el intérprete de Python («pythonw.exe»), si aún no está presente en el sistema.
El siguiente paso consiste en obtener y ejecutar un script de Python desde la misma ubicación de SharePoint que sirve como cargador de código de shell para KaynLDR, un cargador reflectante escrito en C y ASM que es capaz de lanzar una DLL integrada, en esto el agente demoníaco de Havoc en el host infectado.
«El actor de amenazas usa Havoc junto con la API del gráfico de MicrosOQ para ocultar la comunicación C2 dentro de los servicios bien conocidos», dijo Fortinet, y agregó que el marco admite características para recopilar información, realizar operaciones de archivos, así como llevar a cabo la ejecución de comando y carga útil, manipulación de token y ataques de Kerberos.
El desarrollo se produce cuando Malwarebytes reveló que los actores de amenaza continúan explotando una escapatoria conocida en las políticas de anuncios de Google para dirigir a los clientes de PayPal con anuncios falsos atendidos a través de cuentas anunciantes que pueden haber sido comprometidas.
Los anuncios buscan engañar a las víctimas que buscan asistencia relacionadas con problemas de cuentas o preocupaciones de pago para llamar a un número fraudulento que probablemente termine con ellos entregando su información personal y financiera.
«Una debilidad dentro de las políticas de Google para las páginas de destino (también conocidas como URL finales), permite a cualquiera hacer pasar por sitios web populares siempre que la página de destino y la URL muestren (la página web que se muestra en un anuncio) comparta el mismo dominio», dijo Jérôme Segura, director senior de investigaciones en MalwareBytes.
«Los estafadores de soporte técnico son como buitres dando vueltas por encima de los términos de búsqueda de Google más populares, especialmente cuando se trata de cualquier tipo de asistencia en línea o servicio al cliente».
