Een onlangs ontdekte ClickFix-phishingcampagne misleidt slachtoffers om kwaadaardige PowerShell-commando’s uit te voeren die het Havok post-exploitation framework inzetten voor externe toegang tot gecompromitteerde apparaten.

ClickFix is een social-engineeringtactiek die vorig jaar is opgedoken, waarbij dreigingsactoren websites of phishingbijlagen maken die valse fouten weergeven en de gebruiker vervolgens vragen op een knop te klikken om deze op te lossen.

Bij het klikken op de knop wordt een kwaadaardig PowerShell-commando naar het Windows-klembord gekopieerd, waarna gebruikers worden aangespoord het in een opdrachtprompt te plakken om de fout ‘op te lossen’. Echter, zoals verwacht zal het kwaadaardige PowerShell-commando in plaats daarvan een script uitvoeren dat gehost wordt op een externe site en malware op de apparaten downloadt en installeert.

Misbruik van Microsoft cloud-diensten

In een nieuwe ClickFix-campagne ontdekt door Fortinets Fortiguard Labs, sturen dreigingsactoren phishing-e-mails waarin staat dat er een “beperkte mededeling” beschikbaar is voor beoordeling en dat de ontvangers het bijgevoegde HTML-document (‘Documents.html’) moeten openen om het te bekijken.

Bij het openen toont de HTML een nep 0x8004de86-fout, met de mededeling dat het “Niet is gelukt om verbinding te maken met de “One Drive” clouddienst” en dat gebruikers de fout moeten verhelpen door de DNS-cache handmatig bij te werken.

Klikken op de “How to fix”-knop zal automatisch een PowerShell-commando naar het Windows-klembord kopiëren en vervolgens instructies tonen om het uit te voeren.

Dit PowerShell-commando zal proberen een ander PowerShell-script te starten dat gehost wordt op de SharePoint-server van de dreigingsactor.

Fortiguard zegt dat het script controleert of het apparaat zich in een sandbox-omgeving bevindt door het aantal apparaten in het Windows-domein te controleren. Als het bepaalt dat het zich in een sandbox bevindt, zal het script worden beëindigd.

Anders zal het script het Windows-register wijzigen om een waarde toe te voegen die aangeeft dat het script op het apparaat is uitgevoerd. Het zal vervolgens controleren of Python op het apparaat is geïnstalleerd en, zo niet, de interpreter installeren.

Ten slotte wordt er een Python-script gedownload van dezelfde SharePoint-site en uitgevoerd om het Havok post-exploitation command and control framework als een geïnjecteerde DLL te implementeren.

Havok is een open-source post-exploitation framework vergelijkbaar met Cobalt Strike, waarmee aanvallers gecompromitteerde apparaten op afstand kunnen controleren. Dreigingsactoren gebruiken vaak post-exploitation frameworks zoals Havok om bedrijfsnetwerken te infiltreren en vervolgens zijwaarts naar andere apparaten op het netwerk te verspreiden.

In deze campagne is Havok geconfigureerd om terug te communiceren naar de diensten van de dreigingsactor via de Graph API van Microsoft, waarbij kwaadaardig verkeer binnen legitieme clouddiensten wordt ingebed. Door dit te doen, vermengen de aanvallers zich met reguliere netwerkcommunicatie om detectie te ontlopen.

De malware gebruikt SharePoint-API’s op Microsoft Graph om commando’s te verzenden en ontvangen, waardoor het SharePoint-account van de aanvaller effectief wordt omgevormd tot een gegevensuitwisselingssysteem.

ClickFix-aanvallen zijn steeds populairder geworden onder cybercriminelen, die ze gebruiken voor het verspreiden van een breed scala aan malware, waaronder info-stealers, DarkGate en remote access-trojans.

Dreigingsactoren zijn ook begonnen de techniek te ontwikkelen om ze te gebruiken op sociale mediaplatforms zoals Telegram, waar een nepidentiteitsverificatiedienst genaamd ‘Safeguard’ werd gebruikt om gebruikers te misleiden om PowerShell-commando’s uit te voeren die een Cobalt Strike-beacon installeren.