Microsoft SharePoint используется для распространения вредоносного ПО Havoc

Исследователи безопасности заметили новую кампанию ClickFix, цель которой — развернуть фреймворк Havoc для послевзломной деятельности. Фреймворк размещен на аккаунте Microsoft SharePoint. Хакеры используют Microsoft SharePoint для распространения фреймворка Havoc в рамках нового фишингового атаки ClickFix.

Команды Fortiguard Labs, которые отслеживали эту кампанию с прошлого года, отметили, что ClickFix — это тип мошенничества, с которым мы все, скорее всего, сталкивались по меньшей мере раз. Киберпреступники захватывают сайт и создают накладку, отображающую ложное сообщение об ошибке (например: "Ваш браузер устарел, для просмотра содержимого веб-страницы вам необходимо его обновить"). Это фальшивое сообщение подталкивает жертву к действиям, которые обычно завершаются загрузкой и запуском вредоносного программного обеспечения или разглашением конфиденциальной информации, такой как пароли или банковские данные.

Эта кампания похожа на предыдущие, но требует больше активности со стороны жертвы. Схема атаки начинается с фишингового электронного письма, содержащего приложение .HTML с "ограниченным уведомлением". Запуск этого приложения отображает ложное сообщение об ошибке: "Не удалось подключиться к OneDrive — обновите кэш DNS вручную". На странице также есть кнопка "Как исправить", которая копирует команду PowerShell в буфер обмена Windows и затем показывает инструкцию по тому, как ее вставить и запустить.

Этот скрипт в свою очередь запускает второй скрипт, размещенный на сервере SharePoint злоумышленников. Последний скачивает Python-скрипт, который разворачивает фреймворк Havoc в виде файла .DLL. Havoc — это фреймворк для послевзломной деятельности, предназначенный для продвинутого красного командирования и моделирования поведения противника, предоставляющий модульные возможности для ускользающей операции управления с удаленного сервера (C2). Он предлагает такие функции, как выполнение в памяти, зашифрованное общение и методы маскировки для обхода современных систем безопасности.

ClickFix стал невероятно популярен за последние несколько месяцев. В конце октября прошлого года был замечен новый вариант вредоносного программного обеспечения, который атаковал тысячи сайтов WordPress и устанавливал злонамеренный плагин для проведения атаки ClickFix. Несколько недель спустя исследователи обнаружили фальшивые неудачные вызовы на Google Meet, которые также были вариацией атаки ClickFix.

Источник: BleepingComputer