Una sofisticada campaña de phishing está dirigida a cuentas de Microsoft SharePoint, utilizando documentos maliciosos para engañar a los usuarios y ejecutar un comando de PowerShell. Este ataque, que sigue el modelo de campañas tipo ClickFix, busca desplegar Havoc, un potente marco de comando y control (C2) de código abierto, con el fin de tomar el control total del sistema comprometido.
Víctor Ruiz, fundador de SILIKN, informó que Havoc es un marco de comando y control (C2) comparable a Cobalt Strike y Sliver, utilizado por atacantes para tomar el control de sistemas comprometidos. Al ser de código abierto y estar disponible en GitHub, permite a los actores de amenazas personalizarlo y mejorar sus técnicas de evasión.
Esta campaña emplea una táctica poco común para ocultar la comunicación maliciosa de comando y control (C2), aprovechando la API de Microsoft Graph dentro de SharePoint. Los atacantes encubren cada fase del malware detrás de un sitio de SharePoint y utilizan una versión modificada de Havoc Demon junto con la API de Microsoft Graph, lo que les permite disfrazar las comunicaciones C2 dentro de servicios legítimos y ampliamente utilizados.
A decir de Víctor Ruiz, desde el inicio, la campaña parecía seguir un esquema tradicional de phishing: las víctimas recibían un correo electrónico con un mensaje urgente que las instaba a actuar de inmediato. En este caso, se les notificaba sobre un supuesto “aviso restringido” y se les pedía revisar un archivo adjunto llamado “Documents.html”. Sin embargo, este archivo era en realidad un ataque tipo ClickFix, diseñado para mostrar un mensaje de error falso e instrucciones en HTML que solicitaban a los usuarios copiar y pegar manualmente un comando de PowerShell malicioso. Al ejecutarlo, se activaba el código malicioso de Havoc, comprometiendo el sistema.
ClickFix es una táctica reciente en la que los atacantes engañan a las víctimas para que “reparen” un problema inexistente copiando y pegando un comando de PowerShell. En la campaña más reciente, el ataque simula un error de conexión con OneDrive, instando al usuario a solucionar el problema ejecutando un script malicioso alojado en SharePoint. Este script, controlado por el atacante, descarga y ejecuta código en Python, también almacenado en SharePoint, ocultando así el malware dentro de una aplicación legítima.
De acuerdo con el experto, el payload final es una versión modificada de Havoc, que, combinada con la API de Microsoft Graph, permite encubrir la comunicación C2 dentro de servicios confiables. Aunque el uso de marcos de código abierto en ciberataques no es nuevo, la integración de servicios legítimos de Microsoft demuestra un alto nivel de sofisticación, dificultando la detección. Además, la necesidad de una acción manual por parte de la víctima es inusual, ya que la mayoría de estas campañas buscan minimizar la interacción del usuario más allá de un simple clic.
Además de las medidas habituales contra el phishing, como evitar hacer clic en enlaces o abrir archivos de correos sospechosos, es fundamental tener precaución con instrucciones que insten a ejecutar comandos en PowerShell o en una terminal, ya que esto podría desencadenar la ejecución de código malicioso.
En este contexto, un análisis de la unidad de investigación de SILIKN reveló que varias dependencias gubernamentales son vulnerables a este tipo de ataque. Estas instituciones deben tomar medidas urgentes para reforzar su seguridad y proteger tanto su infraestructura como la información sensible de los ciudadanos. Algunas de ellas son:
– Instituto Mexicano de la Propiedad Industrial (IMPI).
– Programa de Recompensas de la Fiscalía General de la República.
– Portafolio de Información de la Comisión Nacional Bancaria y de Valores (CNBV).
– Sistema Estatal de Información Agropecuaria (SEIA) – SEDARH de Gobierno de San Luis Potosí.
– Archivo Histórico del Estado de San Luis Potosí.
– Comisión Ejecutiva de Atención a Víctimas del Estado de San Luis Potosí.
– Instituto Temazcalli del Estado de San Luis Potosí.
– Dirección de Pensiones de San Luis Potosí.
– Servicios de Salud de San Luis Potosí.
– Gobierno del Estado de San Luis Potosí.
– Sistema Nacional de Información Estadística del Sector Turismo de México.
– Citas de la Comisión Nacional de Seguros y Fianzas (CNSF).
– Consejo Nacional de Evaluación de la Política de Desarrollo Social (CONEVAL).
– Portal de Transparencia Cajeme, Estado de Sonora.
– Promotora del Estado de San Luis Potosí.
– Secretaría General de Gobierno del Estado de San Luis Potosí.
– Oficialía Mayor del Poder Ejecutivo del Estado de San Luis Potosí.
