I ricercatori dei FortiGuard Labs hanno identificato una campagna di phishing con un livello di gravità elevato che ha come target gli utenti di Microsoft Windows. Secondo il rapporto, gli aggressori hanno integrato una versione modificata del framework di comando e controllo Havoc (Havoc Demon Agent) con la Microsoft Graph API.
“FortiGuard Labs ha scoperto di recente una campagna di phishing che combina ClickFix e malware multifase per distribuire un Havoc Demon Agent modificato. L’autore della minaccia nasconde ogni fase del malware dietro un sito SharePoint e utilizza una versione modificata di Havoc Demon insieme alla Microsoft Graph API per oscurare le comunicazioni C2 all’interno di servizi affidabili e noti”, scrivono i ricercatori.
Vale la pena ricordare che Havoc è un framework di comando e controllo post-sfruttamento open source disponibile su GitHub, mentre l’API Microsoft Graph è uno strumento che consente agli sviluppatori di interagire con numerose risorse di Microsoft 365, come OneDrive e SharePoint.
Questa stessa versatilità, però, può essere sfruttata dai criminali informatici per fini malevoli, mascherando il traffico malevolo come attività legittima.
Indice degli argomenti
Il metodo di attacco
La campagna inizia con l’invio di e-mail di phishing contenenti un allegato HTML denominato “Documents.html”.
Fonte: FortiGuard Labs.
Questo allegato utilizza una tecnica nota come ClickFix per indurre gli utenti a copiare ed eseguire un comando PowerShell malevolo sul terminale dei propri sistemi. Un metodo simile già visto per distribuire Lumma Stealer.
Fonte: FortiGuard Labs.
In pratica, l’allegato presenta un falso messaggio di errore di connessione a Microsoft OneDrive e che è necessario correggere il problema aggiornando manualmente la cache DNS con una combinazione di tasti da seguire che spinge il destinatario a copiare e incollare un comando apparentemente innocuo nel terminale del proprio sistema.
In realtà, il comando scarica ed esegue uno script PowerShell remoto ospitato su un sito SharePoint che verifica la presenza di ambienti sandbox e, se non rilevati, scarica un interprete Python (“pythonw.exe”), se non è già presente nel sistema.
Lo script scarica inoltre un loader shellcode in Python (KaynLdr) permettendo di iniettare in modo riflessivo la DLL modificata di Havoc Demon deputata ad avviare la comunicazione con il server C2 attraverso l’API Microsoft Graph, integrando le sue attività all’interno delle funzioni legittime di SharePoint.
Una funzione crea altresì due file all’interno della libreria documenti SharePoint della vittima che fungono da canali (In e Out) per trasmettere e ricevere comandi e informazioni. La comunicazione risulta crittografata tramite AES-256 in modalità CTR. Ecco il diagramma di flusso completo della catena d’attacco.
Fonte: FortiGuard Labs.
Implicazioni e sfide per la sicurezza
L’uso di servizi fidati come SharePoint e l’API Microsoft Graph complica notevolmente il rilevamento delle attività malevole. Gli specialisti della sicurezza devono affrontare una sfida crescente, poiché gli attaccanti continuano a migliorare le loro tecniche di offuscamento e a sfruttare le piattaforme legittime per nascondere le loro tracce.
L’ingegnosità degli attaccanti nel combinare l’API Microsoft Graph con SharePoint e il framework Havoc per il comando e controllo rappresenta una sfida significativa. Le organizzazioni devono rimanere vigili, adottare misure preventive e rafforzare la consapevolezza dei propri dipendenti per proteggersi contro queste minacce sempre più sofisticate.
FortiGuard Labs suggerisce che per evitare di scaricare ed eseguire inavvertitamente software dannosi oltre a prestare attenzione alle e-mail di phishing, è necessario cautelarsi contro gli inganni dell’ingegneria sociale, i messaggi di errore che guidano e incoraggiano ad aprire un terminale per eseguire comandi arbitrari ne sono un esempio.
