Attaque de phishing Havoc
Des enquêteurs en cybersécurité ont découvert une nouvelle campagne de phishing qui exploite la technique ClickFix pour déployer Havoc, un framework de commande et de contrôle (C2) open source. Les attaquants dissimulent astucieusement les étapes du malware derrière un site SharePoint, en utilisant une version modifiée de Havoc Demon ainsi que l'API Microsoft Graph pour dissimuler les communications au sein de services légitimes.
Table des matières
Le piège du phishing : un e-mail trompeur et une manipulation de ClickFix
L'attaque est déclenchée par un e-mail de phishing contenant une pièce jointe HTML nommée Documents.html. Une fois ouvert, le fichier affiche un message d'erreur qui incite la victime à copier et à exécuter une commande PowerShell falsifiée. Cette technique, connue sous le nom de ClickFix, incite les utilisateurs à croire qu'ils doivent résoudre un problème de connexion OneDrive en mettant à jour manuellement leur cache DNS.
Si la cible tombe dans le piège, elle lance par inadvertance le processus d’infection en exécutant un script PowerShell qui se connecte à un serveur SharePoint contrôlé par l’attaquant.
Déploiement de logiciels malveillants en plusieurs étapes : de PowerShell à Python
Une fois que le script PowerShell non sécurisé est exécuté, il vérifie d'abord si l'environnement est sandboxé pour échapper à la détection. S'il est jugé sûr, le script procède au téléchargement de Python ('pythonw.exe') s'il n'a pas déjà été installé sur le système.
À partir de là, un deuxième script PowerShell récupère et exécute un chargeur de shellcode basé sur Python, qui lance ensuite KaynLdr, un chargeur réflexif écrit en C et en Assembly. Cela déploie finalement l'agent Havoc Demon sur la machine compromise.
Les capacités de Havoc : une cyberarme furtive
Les attaquants utilisent Havoc en tandem avec l'API Microsoft Graph pour dissimuler le trafic C2 au sein de services connus et fiables. Les fonctionnalités de Havoc incluent :
- Collecte d'informations
- Opérations sur les fichiers
- Exécution de la commande
- Exécution de la charge utile
- Manipulation de jetons
- Attaques Kerberos
Les publicités Google exploitées pour cibler les utilisateurs de PayPal
Dans un développement distinct mais alarmant, les experts en cybersécurité ont également observé des acteurs malveillants exploitant les politiques de Google Ads pour cibler les utilisateurs de PayPal avec des publicités frauduleuses.
Ces tactiques fonctionnent en se faisant passer pour des pages d'assistance PayPal légitimes et en incitant les utilisateurs à appeler un faux numéro de service client. L'objectif est de collecter les informations personnelles et financières des victimes en les persuadant qu'elles parlent à des représentants PayPal légitimes.
La faille dans les publicités de Google : un terrain de jeu pour les fraudeurs
Le succès de ces tactiques de support technique repose sur une faille dans les règles de Google Ads, qui permet aux acteurs malveillants d'usurper l'identité de marques connues. Tant que la page de destination (URL finale) et l'URL d'affichage correspondent au même domaine, les fraudeurs peuvent créer de fausses publicités convaincantes.
Les cybercriminels n’hésitent pas à exploiter les termes de recherche populaires, notamment ceux liés au support client et à la récupération de compte, garantissant ainsi que leurs publicités frauduleuses apparaissent en haut des résultats de recherche.
Conclusion : un paysage de menaces en pleine croissance
Des campagnes de phishing utilisant ClickFix aux abus de Google Ads, les cybercriminels affinent en permanence leurs tactiques d'ingénierie sociale. Ces menaces soulignent l'importance de la vigilance, de la sensibilisation des utilisateurs et de mesures de sécurité renforcées pour atténuer les risques posés par l'évolution des cyberattaques.
