کمپین فیشینگ ClickFix اخیر، قربانیان را برای اجرای دستورات مخرب PowerShell فریب میدهد تا چارچوب پس از اکسپلویت Havok را برای دسترسی از راه دور به دستگاههای در معرض خطر مستقر کند.
چارچوب C2 منبعباز Havoc (در GitHub در دسترس است) همچون Cobalt Strike، Silver و Winos4.0 در کمپینهای تهدید برای به دست آوردن کنترل کامل بر هدف استفاده میشود و امکان تغییر آن را برای عوامل تهدید جهت فرار از تشخیص آسانتر میکند. در تاکتیک مهندسی اجتماعی ClickFix، عوامل تهدید با ایجاد وبسایتها یا پیوستهای فیشینگی که خطاهای جعلی را نشان میدهند، از کاربر میخواهند تا روی دکمهای کلیک کند تا آنها را برطرف کند. به گزارش آزمایشگاه FortiGuard، عامل تهدید هر مرحله با پنهانسازی بدافزار پشت سایت Sharepoint، از نسخه تغییریافته Havoc Demon در ارتباط با Microsoft Graph API استفاده میکند تا ارتباطات C2 را در سرویسهای معتبر و شناخته شده مخفی کند. کمپین حمله با ایمیل فیشینگی که حاوی پیوست فایل HTML است، شروع میشود که با توضیح مختصر و لحنی فوری، گیرنده را وادار به باز کردن پیوست کند. پیوست، «Documents.html»، یک حمله ClickFix است که با جاسازی پیام خطای جعلی و دستورالعملها در HTML، کاربران را به کپی و جایگذاری فرمان مخرب PowerShell فریب دهد و بدافزار را دانلود و بر روی دستگاهها نصب میکند.
- پلتفرمها و بخشهای تحت تأثیر: مایکروسافت ویندوز، هر سازمانی
- تأثیر: دستیابی مهاجمان به کنترل سیستم های آلوده
- سطح شدت: بالا
https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint
https://www.fortinet.com/blog/threat-research/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2
https://thehackernews.com/2025/03/hackers-use-clickfix-trick-to-deploy.html
