Nuova campagna di phishing: la tecnica ClickFix e il framework Havoc
I ricercatori di sicurezza informatica hanno recentemente scoperto una campagna di phishing che utilizza la tecnica ClickFix per distribuire un framework di comando e controllo (C2) open source noto come Havoc. Questa minaccia si distingue per la sua capacità di nascondere ogni fase del malware dietro un sito SharePoint, sfruttando una versione modificata di Havoc Demon insieme all’API di Microsoft Graph per mascherare le comunicazioni C2 all’interno di servizi affidabili e noti.
Il meccanismo di attacco
Il processo inizia con un file HTML che, una volta aperto, mostra un messaggio di errore. Questo messaggio è progettato per ingannare gli utenti, spingendoli a copiare ed eseguire un comando PowerShell dannoso nel loro terminale o PowerShell. Questo comando avvia la fase successiva, scaricando ed eseguendo uno script PowerShell ospitato su un server SharePoint controllato dall’attaccante.
Strategie di evasione
Una volta scaricato, il PowerShell verifica se viene eseguito in un ambiente sandbox prima di procedere ulteriormente. Se non rileva un ambiente di test, continua con il download dell’interprete Python (“pythonw”), permettendo così al malware di operare senza essere rilevato.
Questa sofisticata campagna di phishing sottolinea l’importanza di rimanere vigili e aggiornati sulle ultime minacce informatiche. Per ulteriori contenuti esclusivi e aggiornamenti, seguici su Twitter e LinkedIn.
Fonte: The Hackers News
