- Sicherheitsforscher entdeckten eine neue ClickFix -Kampagne
- Ziel ist es, das HAVOC-Framework nach der Exploitation bereitzustellen
- Das Framework wird auf einem Microsoft SharePoint -Konto gehostet
Hacker wurden missbraucht Microsoft SharePoint, um das HAVOC-Framework der HAVOC in einem neuen ClickFix Phishing-Angriff zu verteilen.
Die Cybersecurity -Forscher Fortiguard Labs, die die Kampagne seit letztem Jahr verfolgt, betonten, wie ClickFix eine Art Betrug ist, auf dem wir wahrscheinlich mindestens alle begegnet sind. Cybercriminale entlasteten eine Website und erstellen ein Overlay, das eine gefälschte Fehlermeldung anzeigt (z. B. „Ihr Browser ist veraltet, und um den Inhalt der Webseite anzuzeigen, müssen Sie sie aktualisieren“). Diese gefälschte Nachricht würde das Opfer in Aktion bringen, was normalerweise durch das Herunterladen und Laufen endet Malwareoder teilen sensible Informationen wie Passwörter oder Bankdaten.
Diese Kampagne ist ähnlich, erfordert jedoch ein bisschen mehr Aktivitäten von der Seite des Opfers. Die Angriffskette beginnt mit einer Phishing -E -Mail und trägt eine „eingeschränkte Mitteilung“ als .html -Anhang. Das Ausführen des Anhangs zeigt einen gefälschten Fehler mit der Aufschrift „Die Verbindung zu OneDrive konnte nicht hergestellt werden – den DNS -Cache manuell aktualisieren“. Die Seite verfügt außerdem über eine Schaltfläche „Wie reparieren“, die einen PowerShell -Befehl in die Windows -Zwischenablage kopiert und dann eine Nachricht zum Einfügen und Ausführen an zeigt.
Steigende Bedrohung durch ClickFix
Das Ausführen dieses Skripts wird dann eine zweite ausgeführt, die auf dem SharePoint-Server der Angreifer gehostet wird, der wiederum ein Python-Skript herunterlädt, das das Havoc-Framework der Havoc als .dll-Datei bereitstellt.
HAVOC ist ein Framework nach der Exploitation, das für fortschrittliche rote Teaming und Gegnersimulation entwickelt wurde und modulare Funktionen für Stealthy Command and Control (C2) -Operationen bietet. Es bietet Funktionen wie In-Memory-Ausführung, verschlüsselte Kommunikation und Ausweichentechniken, um moderne Sicherheitsverteidigungen zu umgehen.
ClickFix ist in den letzten Monaten wahnsinnig beliebt geworden. Ende Oktober letzten Jahres wurde eine neue Malware -Variante beobachtet, die Tausende von WordPress -Websites beeinträchtigt und ein bösartiges Plugin installiert, das den ClickFix -Angriff bedienen würde.
Erst ein paar Wochen zuvor sahen die Forscher eine gefälschte kaputte Google Treffen Sie Anrufe, die auch eine Variante des ClickFix -Angriffs waren.
Über BleepingComputer
Sie könnten auch mögen
Source link
