Фишинговая атака под видом сельскохозяйственных велосоревнований: злоумышленники распространяют Havoc C2 через поддельный сайт WACC

Фальшивый сайт выглядел практически идентично оригинальному, за исключением нескольких деталей. Мошенники добавили раздел "ФОТО", где посетителям предлагалось скачать ZIP-архив с якобы снимками с мероприятия. Однако вместо изображений в архиве находился вредоносный код, который после загрузки активировал серию скрытых процессов. В результате жертвы незаметно для себя подключались к серверу Havoc C2, предоставляя злоумышленникам удаленный доступ к их устройствам.

Havoc C2 - это мощный фреймворк для удаленного администрирования, который злоумышленники используют для кражи данных, внедрения дополнительного вредоносного ПО или даже полного контроля над зараженной системой. В данном случае вредоносный сервер пытался связаться с доменом Azure Front Door, который, вероятно, использовался для перенаправления трафика на реальный командный центр (C&C). Интересно, что на момент обнаружения C&C-сервер был недоступен, поэтому полная схема атаки осталась не до конца изученной.

Технический анализ показал, что ZIP-архив содержал три ярлыка, которые запускали скрипт PowerShell. Этот сценарий выполнял несколько действий: сначала загружал легитимные изображения, чтобы не вызывать подозрений у пользователей, а затем тайно загружал и исполнял вредоносный DLL-файл. Этот файл, в свою очередь, загружал шеллкод, который и устанавливал соединение с Havoc C2.

Кроме того, исследователи обнаружили на фишинговом сайте открытый каталог с различными версиями вредоносных нагрузок. Это говорит о том, что злоумышленники активно адаптируют свои инструменты, возможно, для более эффективного таргетинга на конкретные группы жертв.

Пока неясно, насколько широко была распространена эта кампания и сколько пользователей могли стать ее жертвами. Однако само появление такой изощренной фишинговой атаки подчеркивает важность осторожности при переходе по ссылкам и загрузке файлов, даже если они кажутся легитимными.

Эксперты рекомендуют всегда проверять URL-адреса сайтов, особенно если они предлагают скачать какие-либо файлы. Также стоит использовать антивирусные решения с функцией поведенческого анализа, которые могут обнаруживать подозрительную активность, даже если вредоносный код ранее не был известен.

В будущем специалисты планируют продолжить изучение этого инцидента, чтобы выявить возможные уязвимости в механизмах защиты и разработать более эффективные методы противодействия подобным атакам. Пока же пользователям остается только соблюдать базовые правила кибербезопасности и быть особенно внимательными при взаимодействии с подозрительными ресурсами.

Domains

• wacc.photo

SHA256

• 3a169ce08fa1ab70f452c2bdfe3638805579a5cca1b45eb8ce81f68c98c932da
• 43cfef5db47162dda0c11320d3fcee76ef83308a7d0b7c9afd16c8dd974834a7
• 7566a8bce13dcbf1137b44776711ac2c471cf54a8bd7891c5b00b091f2aaa796
• d9b4ed0f77045b79989b31fa32fdb1b461e9602d0c150a4052f9ae6a79a98ff5
• da9122c56c0da8f4e336f811435783b22994a9109162f3be6558aed7ac1c08da