Kampanye phishing clickfix yang baru ditemukan adalah menipu para korban untuk melaksanakan perintah PowerShell berbahaya yang menggunakan kerangka kerja pasca-eksploitasi Havok untuk akses jarak jauh ke perangkat yang dikompromikan.
ClickFix adalah taktik rekayasa sosial yang muncul tahun lalu, di mana aktor ancaman membuat situs web atau lampiran phishing yang menampilkan kesalahan palsu dan kemudian meminta pengguna mengklik tombol untuk memperbaikinya.
Mengklik tombol akan menyalin perintah PowerShell berbahaya ke windows clipboard, yang kemudian diminta pengguna untuk menempel ke prompt perintah untuk “memperbaiki” kesalahan. Namun, seperti yang diharapkan, perintah PowerShell berbahaya sebaliknya akan menjalankan skrip yang di -host di situs jarak jauh yang mengunduh dan menginstal malware di perangkat.
Menyalahgunakan layanan cloud microsoft
Dalam kampanye clickfix baru yang ditemukan oleh Fortinet’s Fortiguard LabsAktor ancaman mengirim email phishing yang menyatakan bahwa “pemberitahuan terbatas” tersedia untuk ditinjau dan bahwa penerima harus membuka dokumen HTML yang terlampir (‘Documents.html’) untuk melihatnya.
Saat dibuka, HTML menampilkan kesalahan 0x8004DE86 palsu, menyatakan bahwa “gagal terhubung ke layanan cloud” One Drive “dan bahwa pengguna harus memperbaiki kesalahan dengan memperbarui cache DNS secara manual.
Sumber: BleepingComputer
Mengklik tombol “Cara Memperbaiki” akan secara otomatis menyalin perintah PowerShell ke windows clipboard dan kemudian menampilkan instruksi tentang cara menjalankannya.
Sumber: BleepingComputer
Perintah PowerShell ini akan mencoba untuk meluncurkan skrip PowerShell lain yang di -host di server SharePoint aktor ancaman.
Sumber: BleepingComputer
Fortiguard mengatakan bahwa skrip memeriksa apakah perangkat berada di lingkungan kotak pasir dengan menanyakan jumlah perangkat di domain Windows. Jika menentukan itu dalam kotak pasir, skrip akan berakhir.
Jika tidak, skrip akan memodifikasi Registry Windows untuk menambahkan nilai yang menunjukkan bahwa skrip dijalankan pada perangkat. Ini kemudian akan melanjutkan untuk memeriksa apakah python diinstal pada perangkat dan, jika tidak, instal penerjemah.
Akhirnya, skrip Python diunduh dari situs SharePoint yang sama dan dieksekusi untuk menggunakan Kerangka Kerja Perintah dan Kontrol Havok Havok sebagai DLL yang disuntikkan.
Havoc adalah kerangka kerja pasca-eksploitasi open-source yang mirip dengan pemogokan kobalt, yang memungkinkan penyerang untuk mengontrol perangkat yang dikompromikan dari jarak jauh. Aktor ancaman biasanya menggunakan kerangka kerja pasca-eksploitasi seperti Havoc untuk melanggar jaringan perusahaan dan kemudian menyebar secara lateral ke perangkat lain di jaringan.
Dalam kampanye ini, Havok dikonfigurasi untuk berkomunikasi kembali ke layanan aktor ancaman melalui Microsoft’s Graph API, menanamkan lalu lintas berbahaya dalam layanan cloud yang sah. Dengan melakukan itu, para penyerang berbaur dengan komunikasi jaringan reguler untuk menghindari deteksi.
Malware menggunakan API SharePoint pada Microsoft Graph untuk mengirim dan menerima perintah, secara efektif mengubah akun SharePoint penyerang menjadi sistem pertukaran data.
Serangan clickFix menjadi semakin populer di kalangan penjahat cyber, yang menggunakannya untuk menggunakan berbagai macam malware, termasuk infostealer, Darkgatedan Trojans akses jarak jauh.
Aktor ancaman juga telah mulai mengembangkan teknik ini Gunakan mereka di platform media sosial seperti Telegramdi mana layanan verifikasi identitas palsu bernama ‘Safeguard’ digunakan untuk menipu pengguna agar menjalankan perintah PowerShell yang menginstal Cobalt Strike Beacon.
