Phishing
Phishing mit Fake Office 365
Die Sicherheitsforscher von live casino online untersuchten eine Phishing-Kampagne, die seit Mai 2020 hochrangige Ziele in mehreren L?ndern anvisiert.
Save to Folio
Originalartikel von Matsukawa Bakuei, Marshall Chen, Vladimir Kropotov, Loseway Lu, Fyodor Yarochkin
Die Sicherheitsforscher von live casino online untersuchten eine Phishing-Kampagne, die seit Mai 2020 hochrangige Ziele in der Fertigungs-, Immobilien-, Finanz-, Regierungs- und Technologiebranche in mehreren L?ndern wie Japan, den USA, Gro?britannien, Kanada, Australien und Europa anvisiert. Bis heute fanden sie über 300 eindeutige kompromittierte URLs und 70 E-Mail-Adressen von acht kompromittierten Sites, darunter 40 legitime E-Mails von CEOs, Direktoren, Eigentümern und Gründern von Unternehmen sowie anderen Unternehmensmitarbeitern. live casino online arbeitet nun mit den entsprechenden Beh?rden bei weiteren Ermittlungen zusammen.
Potenzielle Opfer werden mit Mails gek?dert, die gef?lschte Office 365-Reports über den Verfall von Passw?rtern enthalten. Die Empf?nger sollen auf einen in der Mail enthaltenen Link klicken, falls sie dasselbe Passwort weiter verwenden wollen, die Wahl der Option ?Keep Password“ leitet das Opfer dann an die Phishing-Seite weiter.
Die Angreifer verwenden eine kompromittierte Infrastruktur und die Zugangsdaten der Opfer wieder, um Phishing-Seiten zu hosten und weitere Opfer zu gewinnen, wie letztes Jahr . Das k?uflich zu erwerbende Kit kann die Details und die Richtigkeit der Anmeldedaten überprüfen, sobald das Opfer mit dem eingebetteten Link interagiert.
Die Forscher fanden dazu auch einige Anzeigen in verschiedensprachigen Untergrundforen (Englisch und Russisch), in denen Cyberkriminelle den Verkauf von Kontendaten von CEOs, Chief Financial Officers (CFOs) und Mitarbeitern der Finanzabteilung bewarben. Es fiel auf, dass die Posts in den russischsprachigen Foren in Englisch gehalten waren und kürzlich registrierte Konten nutzten. Sie offerierten kompromittierte Office 365-Konten mit den entsprechenden Positionen der Mitarbeiter.
Phishing Kit
Die Kampagnenbetreiber nutzten w?hrend der Aktionen dasselbe Phishing Kit. Die Sites, die das Kit hosteten waren nicht richtig konfiguriert, sodass Inhalte des Verzeichnisses exponiert waren und den Download des Kits und der dazugeh?rigen Log-Dateien ohne Authentifizierung erlaubten. Somit konnten auch die Forscher zus?tzliche Einsicht in die Kampagne nehmen und Beweise für die m?gliche Zuordnung der Kits sammeln. Sie gehen davon aus, dass die früheren Projekte der Kit-Entwickler als Vorl?uferfunktionen fungierten, die zu den Office 365-Phishing-Kit-Versionen beitrugen, die anschlie?end im Untergrund verkauft wurden. Doch nach weiteren Untersuchungen des Profil des Entwicklers, fanden sie merkwürdige Verhaltensweisen, die weitere technische und rechtliche Untersuchungen rechtfertigen.
E-Mails über Drittanbieter-RDP
Die Analyse der SMTP Mail-Header der K?der-Samples ergab, dass die meisten Phishing-Mails über einen virtuellen privaten Server (VPS) von verschickt wurden. Dieser bietet eine Reihe von Windows Remote Desktop Protocol (RDP)-Pl?nen für seine jeweiligen Kunden. live casino online hat FireVPS darüber informiert.
Beim Scannen anderer E-Mail-Samples auf E-Mails, die von einem FireVPS-RDP-Rechner gesendet wurden, fanden sie ?hnliche Phishing-E-Mail-Templates. Die URL, die an ein Mitglied der Finanzabteilung gesendet wurde, enthielt ebenfalls die Informationen und Anmeldedaten des Empf?ngers. Eine Online-Suche ergab, dass das Profil und die E-Mail-Adresse des Empf?ngers genau mit den Informationen übereinstimmten, die in seinem LinkedIn-Konto aufgeführt waren.
Blocklist
Der Kit-Entwickler muss wohl viel Zeit für das Erstellen der Blocklist im Kit aufgewendet haben. Sie umfasst eine ausführliche Liste mit den Domain-Namen und IP-Adressen, um sicherzustellen, dass der Zugriff blockiert wird, sollte ein Sicherheitsanbieter oder gro?er Cloud Provider darauf zugreifen wollen. So soll wohl die Entdeckung verhindert werden, denn die Liste umfasst auch eine Reihe von Antiviren-Anbietern, wie Google, Microsoft, VirusTotal, sowie eine Liste anderer Cybersicherheitsanbieter.
Das gefundene Phishing Kit ist bereits die vierte Version des Toolkits. Frühere Versionen davon sind wohlbekannt, da sie im Untergrund und in den sozialen Medien weitl?ufig beworben wurden. Inhaltlich geht es in den K?dern haupts?chlich um das Bewahren des aktuellen Passworts. Einzelheiten dazu enth?lt der Originalbeitrag.
Neben der Blocklist gibt es in V4 auch andere F?higkeiten, die m?glicherweise die Erkennung erschweren. Dazu geh?rt die F?higkeit, Bot Scanning oder Crawling zu erkennen und alternative Inhalte anzubieten, wenn Bots entdeckt werden.
Auch wird das Phishing Kit mit einer Lizenz verkauft, und ein verschleiertes PHP-Skript meldet sich beim System des Entwicklers zurück, um die Gültigkeit der Lizenz zu überprüfen. Bei der Rückverfolgung des Kit-Entwicklers konnten die Forscher die ?Gesch?fts“-Facebook-Seite mit pers?nlichen Seiten in Verbindung bringen. Sie informierten die entsprechenden Beh?rden darüber. Einzelheiten dazu enth?lt der Originalbeitrag.
In Untergrundforen gibt es zahlreiche Benutzer, die C-Level-Accounts verkaufen. live casino online hat diese Benutzer-Handles als Verk?ufer einiger relevanter C-Level-Accounts in verschiedenen Foren identifiziert, wobei die Preise für diese Anmeldedaten zwischen 250 und 500 Dollar liegen. Einzelheiten dazu enth?lt der Originalbeitrag.
M?gliche Ziele und die Daten der Opfer
Die Analyse der Daten aus den gesammelten Protokolldateien der fehlkonfigurierten Websites ergab, dass die gestohlenen Anmeldeinformationen von acht kompromittierten Phishing-Sites stammten, auf denen das b?sartige Office 365 V4-Kit gehostet wurde. Jede Website wurde m?glicherweise von verschiedenen Phishern für unterschiedliche Phishing-Kampagnen von unterschiedlichem Umfang erstellt. Auch scheinen die Phisher die Mail-Adressen ihrer Opfer vor allem von LinkedIn gesammelt zu haben.
CEO-Mail-Adressen werden im Untergrund h?ufig mit dem Ziel gehandelt, sie für weitere Phishing-Angriffe zu verwenden, Zugang zu sensiblen Informationen zu erlangen oder Angriffe wie Business Email Compromise (BEC) durchzuführen.
Ein Blick auf verschiedene Untergrundforen und -seiten offenbarte auch spezifische Angebote für kompromittierte Anmeldedaten, die nach Jahr, Branche, Unternehmensposition und Social-Media-Plattform-Anmeldedaten kategorisiert sind. Um eine Zielliste zu erstellen, gibt es eine Reihe von Plattformen, die Listen von CFO/CEO-E-Mails, Facebook-Profilen und mehr verkaufen, kategorisiert nach Region und Land. Die Angreifer k?nnten Ziellisten von einer dieser Websites gekauft haben.
Fazit
Der Umfang und die Genauigkeit der E-Mails und Anmeldedaten zeigen, dass der Angreifer über einen genauen Datensatz von Opfern und potenziellen Zielen verfügt. W?hrend der Angreifer die E-Mails einfach von den Websites der anvisierten Organisationen h?tte zusammenstellen k?nnen, ging er einen Schritt weiter, um diese zu validieren und sicherzustellen, dass sie die aus dem ?ffentlichen Bereich gesammelten Daten erg?nzen. Indem der Angreifer gezielt Mitarbeiter der C-Ebene ins Visier nahm, erh?hte er den Wert der erlangten Zugangsdaten erheblich, da diese zu weiterem Zugriff auf sensible pers?nliche und organisatorische Daten führen und in anderen Angriffen verwendet werden k?nnten.
Mitarbeiter sollten st?ndig daran denken, auf die Details zu achten, die sie auf pers?nlichen Seiten preisgeben. Alle Mitarbeiter, unabh?ngig vom Rang im Unternehmen, sollten Vorsicht walten lassen, wenn sie auf E-Mail-Aufforderungen zu bestimmten Handlungen reagieren, insbesondere wenn die Mails aus unbekannten Quellen stammen.
In Anbetracht dessen werden seri?se Service-Provider und Anbieter Einzelpersonen und Unternehmensanwender niemals nach Details wie Zugangsdaten für Konten fragen und insbesondere keine veralteten Passw?rter aufbewahren. Diese Details sind anf?llig für den Missbrauch durch unbefugte und b?swillige Personen und werden von Anbietern den jeweiligen Sicherheits- und IT-Teams zur Anpassung an die Unternehmensrichtlinien überlassen.