У лютому 2025 року стало відомо про арешт 39-річного хакера, який протягом кількох років здійснював численні витоки персональних даних.
236 
Кіберзлочинці застосовують нову фішингову техніку ClickFix, щоб приховано поширювати Havoc C2 через SharePoint. Дослідники з Fortinet ForEGuard Labs виявили, що зловмисники використовують Microsoft Graph API, що дозволяє їм замаскувати шкідливу активність під легітимні запити.
Атака починається з розсилки фішингових листів із вкладеним HTML-файлом “Documents.html”, який відкриває фальшиву сторінку помилки. Користувачеві пропонують вручну виконати шкідливу команду PowerShell, що ініціює завантаження наступного етапу атаки. Цей сценарій перевіряє середовище виконання та, якщо система не захищена пісочницею, завантажує Python-інтерпретатор та запускає скрипт, що діє як завантажувач шкідливого коду KaynLdr. Завдяки цьому Havoc C2 може отримати контроль над зараженим пристроєм, виконувати команди, завантажувати файли та маніпулювати токенами доступу.
Havoc C2 — це альтернатива Cobalt Strike із відкритим вихідним кодом. Його використовують хакери для віддаленого контролю над системами, обходу антивірусного захисту та крадіжки даних.
Подібні методи вже використовувалися раніше, зокрема у фішингових кампаніях через рекламні платформи Google, спрямованих на викрадення облікових даних PayPal.
Зловмисники продовжують вдосконалювати техніки прихованого запуску шкідливого ПЗ, використовуючи довірені сервіси для обходу захисту. Компаніям рекомендується посилити заходи безпеки, зокрема блокувати автоматичне виконання PowerShell-скриптів та ретельно перевіряти походження вкладень у листах.
236 
251 
216