Havoc Phishing Attack

サイバーセキュリティ調査員は、ClickFix 技術を利用してオープンソースのコマンド アンド コントロール (C2) フレームワークである Havoc を展開する新しいフィッシング キャンペーンを発見しました。攻撃者は、Havoc Demon の修正バージョンと Microsoft Graph API を使用して、正規のサービス内での通信を偽装し、SharePoint サイトの背後に巧妙にマルウェア ステージを隠します。

フィッシングの罠: 偽のメールと ClickFix の操作

この攻撃は、Documents.html という HTML 添付ファイルを含むフィッシング メールによって引き起こされます。ファイルを開くと、被害者を操作して改ざんされた PowerShell コマンドをコピーして実行させるエラー メッセージが表示されます。ClickFix と呼ばれるこの手法は、DNS キャッシュを手動で更新して OneDrive の接続問題を解決する必要があるとユーザーを騙します。

ターゲットがこのトリックに引っかかった場合、攻撃者が制御する SharePoint サーバーに接続する PowerShell スクリプトを実行して、意図せずに感染プロセスを開始してしまいます。

多段階のマルウェア展開: PowerShell から Python まで

安全でない PowerShell スクリプトが実行されると、まず検出を回避するために環境がサンドボックス化されているかどうかがチェックされます。安全であると判断された場合、スクリプトは Python (「pythonw.exe」) がシステムにまだインストールされていない場合は Python のダウンロードに進みます。

そこから、2 番目の PowerShell スクリプトが Python ベースのシェルコード ローダーを取得して実行し、C とアセンブリで記述されたリフレクティブ ローダーである KaynLdr を起動します。これにより、最終的に侵害されたマシンに Havoc Demon エージェントが展開されます。

Havoc の機能: ステルス型サイバー兵器

攻撃者は、Havoc を Microsoft Graph API と組み合わせて使用し、よく知られた信頼できるサービス内に C2 トラフィックを隠します。Havoc の機能は次のとおりです。

• 情報収集
• ファイル操作
• コマンド実行
• ペイロード実行
• トークン操作
• ケルベロス攻撃

PayPal ユーザーをターゲットにした Google 広告の悪用

また、サイバーセキュリティの専門家は、別の、しかし憂慮すべき事態として、脅威アクターが Google 広告のポリシーを悪用して PayPal ユーザーを標的に不正な広告を表示しているのも観察しています。

これらの戦術は、正当な PayPal サポート ページを偽装し、ユーザーを騙して偽のカスタマー サービス番号に電話をかけさせることで機能します。その目的は、被害者が正当な PayPal 担当者と話していると信じ込ませて、個人情報や財務情報を収集することです。

Google 広告の抜け穴: 詐欺師の遊び場

こうしたテクニカル サポート戦略が成功するかどうかは、Google 広告ポリシーの抜け穴にかかっています。この抜け穴により、悪質な人物が有名ブランドになりすますことができます。ランディング ページ (最終 URL) と表示 URL が同じドメインに一致している限り、詐欺師は説得力のある偽の広告を作成できます。

サイバー犯罪者は、特に顧客サポートやアカウント回復に関連する人気の検索用語をすぐに悪用し、詐欺広告が検索結果の上位に表示されるようにします。

結論: 増大する脅威の状況

ClickFix を利用したフィッシング キャンペーンから Google 広告の悪用まで、サイバー犯罪者はソーシャル エンジニアリングの戦術を絶えず改良しています。これらの脅威は、進化するサイバー攻撃によってもたらされるリスクを軽減するために、警戒、ユーザーの認識、強化されたセキュリティ対策の重要性を浮き彫りにしています。