Ataque de phishing Havoc
Los investigadores de ciberseguridad han descubierto una nueva campaña de phishing que aprovecha la técnica ClickFix para implementar Havoc, un marco de comando y control (C2) de código abierto. Los atacantes ocultan astutamente las etapas del malware detrás de un sitio de SharePoint, utilizando una versión modificada de Havoc Demon junto con la API de Microsoft Graph para disfrazar las comunicaciones dentro de servicios legítimos.
Tabla de contenido
La trampa del phishing: un correo electrónico engañoso y la manipulación de ClickFix
El ataque se desencadena mediante un correo electrónico de phishing que contiene un archivo adjunto en formato HTML llamado Documents.html. Al abrirlo, el archivo muestra un mensaje de error que manipula a la víctima para que copie y ejecute un comando de PowerShell alterado. Esta técnica, conocida como ClickFix, engaña a los usuarios para que crean que deben solucionar un problema de conexión de OneDrive actualizando manualmente su caché de DNS.
Si la víctima cae en la trampa, inicia inadvertidamente el proceso de infección ejecutando un script de PowerShell que se conecta a un servidor de SharePoint controlado por el atacante.
Implementación de malware en varias etapas: de PowerShell a Python
Una vez que se ejecuta el script de PowerShell no seguro, primero verifica si el entorno está protegido para evitar ser detectado. Si se considera seguro, el script procede a descargar Python ('pythonw.exe') si aún no se ha instalado en el sistema.
A partir de ahí, un segundo script de PowerShell obtiene y ejecuta un cargador de shellcode basado en Python, que luego lanza KaynLdr, un cargador reflexivo escrito en C y Assembly. Esto finalmente implementa el agente Havoc Demon en la máquina comprometida.
Las capacidades de Havoc: un arma cibernética sigilosa
Los atacantes utilizan Havoc junto con la API de Microsoft Graph para ocultar el tráfico C2 dentro de servicios conocidos y de confianza. Las funcionalidades de Havoc incluyen:
- Recopilación de información
- Operaciones con archivos
- Ejecución de comandos
- Ejecución de carga útil
- Manipulación de tokens
- Ataques Kerberos
Anuncios de Google explotados para atacar a usuarios de PayPal
En un desarrollo separado pero alarmante, los expertos en ciberseguridad también han observado a actores de amenazas que explotan las políticas de Google Ads para dirigirse a los usuarios de PayPal con anuncios fraudulentos.
Estas tácticas funcionan haciéndose pasar por páginas de soporte legítimas de PayPal y engañando a los usuarios para que llamen a un número de atención al cliente falso. El objetivo es recopilar información personal y financiera de las víctimas convenciéndolas de que están hablando con representantes legítimos de PayPal.
La laguna legal de los anuncios de Google: un terreno de juego para los estafadores
El éxito de estas tácticas de soporte técnico depende de una laguna en las políticas de Google Ads, que permite a los actores maliciosos hacerse pasar por marcas conocidas. Siempre que la página de destino (URL final) y la URL visible coincidan con el mismo dominio, los estafadores pueden crear anuncios falsos convincentes.
Los ciberdelincuentes explotan rápidamente los términos de búsqueda populares, en particular aquellos relacionados con la atención al cliente y la recuperación de cuentas, para asegurarse de que sus anuncios fraudulentos aparezcan en la parte superior de los resultados de búsqueda.
Conclusión: Un panorama de amenazas en aumento
Desde las campañas de phishing impulsadas por ClickFix hasta el abuso de Google Ads, los cibercriminales perfeccionan continuamente sus tácticas de ingeniería social. Estas amenazas ponen de relieve la importancia de la vigilancia, la concienciación de los usuarios y la mejora de las medidas de seguridad para mitigar los riesgos que plantean los ciberataques en constante evolución.
