Компания Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговый сайт, который точно копирует официальный сайт Всемирных соревнований по сельскохозяйственному велоспорту (WACC).
Havoc C2
Злоумышленник создал этот сайт, сделав незначительные изменения в оригинальном сайте WACC, чтобы его было трудно отличить от оригинала. Фишинговый сайт был обнаружен в июле 2024 года после завершения настоящих соревнований по сельскохозяйственному велоспорту. На фишинговом сайте был добавлен раздел "ФОТО", в котором заманивали пользователей фотографиями с мероприятия. Затем посетителям предлагалось загрузить ZIP-файл, который на самом деле содержал вредоносный код. После скачивания ZIP-файла активировались ярлыки, запускающие сложную цепочку заражения и в конечном итоге устанавливающие связь с вредоносным сервером Havoc C2.
Havoc C2 в свою очередь пытается связаться с доменом Azure Front Door, который, вероятно, используется для перенаправления трафика на реальный командно-контрольный сервер (C&C), где злоумышленник может выполнять дополнительные вредоносные действия. Однако в ходе анализа было замечено, что C&C-сервер не работает, поэтому полная структура и последующие этапы атаки не были полностью проанализированы.
На фишинговом сайте также был обнаружен открытый каталог с различными полезными нагрузками, используемыми для доставки Havoc. Это может указывать на то, что злоумышленник изменяет свои нагрузки, чтобы лучше нацелить их на своих жертв.
Технический анализ показал, что пользователи, загружая ZIP-файл с фишингового сайта, активируют три ярлыка, которые запускают сценарий PowerShell. Этот сценарий загружает легитимные изображения для создания иллюзии подлинности и в то же время загружает и выполняет вредоносный DLL-файл. Эта DLL-файл затем загружает шелл-код, который отвечает за установку Havoc C2.
Дальнейший анализ позволил обнаружить открытый каталог на фишинговом сайте, содержащий полезные нагрузки для доставки Havoc. Это указывает на то, что злоумышленник активно изменяет свои методы и нацеленность для достижения своих целей.
Однако стоит отметить, что C&C-сервер был недоступен, поэтому необходимы дополнительные исследования, чтобы полностью проанализировать все этапы атаки и выявить потенциальные уязвимости, которые могут использоваться для предотвращения и будущей защиты от таких фишинговых атак.
Indicators of Compromise
Domains
- wacc.photo
SHA256
- 3a169ce08fa1ab70f452c2bdfe3638805579a5cca1b45eb8ce81f68c98c932da
- 43cfef5db47162dda0c11320d3fcee76ef83308a7d0b7c9afd16c8dd974834a7
- 7566a8bce13dcbf1137b44776711ac2c471cf54a8bd7891c5b00b091f2aaa796
- d9b4ed0f77045b79989b31fa32fdb1b461e9602d0c150a4052f9ae6a79a98ff5
- da9122c56c0da8f4e336f811435783b22994a9109162f3be6558aed7ac1c08da
