‚Heatstroke’-Kampagne nutzt mehrstufige Phishing-Angriffe für Diebstahl

  1. Originalartikel von Jindrich Karasek, Threat Researcher

Phishing bleibt auch weiterhin eines der wichtigsten Mittel im Arsenal der Cyberkriminellen. Das jüngste Beispiel einer Phishing-Kampagne namens Heatstroke basiert auf einer Variablen in deren Phishing Kit-Code. Heatstroke zeigt, wie weit sich die Phishing-Techniken entwickelt habe — vom einfachen Nachahmen legitimer Websites und der Verwendung verschiedener Social Engineering Taktiken bis zu sehr ausgeklügelten Methoden wie der Einsatz von Steganographie.

Die Art und Weise, wie die Hintermänner von Heatstroke ihre potenziellen Opfer ausforschen, ist bemerkenswert. Sie suchen nach den privaten Email-Adressen, die sie höchstwahrscheinlich aus der eigenen Adressliste des Opfers sammeln, zu der auch solche von Managern und Mitarbeitern aus der Technologiebranche gehören. Private Mail-Adressen werden eher auf kostenlosen E-Mail-Diensten mit laxer Sicherheit und Spam-Filterung gehostet. Sie werden auch normalerweise als Verifizierung für Social Media- und E-Commerce-Websites sowie als Backups für Gmail- und Geschäftskonten verwendet. Besonders interessant sind Gmail-Konten. Angreifer, die Zugang zu diesen Konten erhalten, können auch auf das Google-Laufwerk des Opfers zugreifen und unter bestimmten Umständen das mit dem Konto verbundene Android-Gerät infizieren. Diese kostenlosen Mail-Konten sind somit bessere Ausgangspunkte für Angreifer, um ihre Ziele zu erkunden und Informationen zu sammeln, als Geschäfts-Mails, die in der Regel sicherer sind.

Die Hintermänner von Heatstroke scheinen folgende Maßnahmen getroffen zu haben, um ihre Spuren zu verwischen:

  • Mehrstufiger Phishing-Angriff. Um keinen Verdacht zu erregen, nehmen sich die Angreifer Zeit und verteilen ihren Angriff nicht auf mehrere Bildschirme/Seiten. Im Vergleich zu einem gewöhnlichen Phishing-Angriff, bei dem eine einzige Zielseite verwendet wird, versucht der mehrstufige Ansatz von Heatstroke nachzuahmen, was eine legitime Website tun würde, um das potenzielle Opfer in  Sicherheit zu wiegen, dass alles gut läuft.
  • Verwischte Spuren. Der Inhalt des Phishing-Kits wird von einem anderen Ort weitergeleitet, aber maskiert, um den Eindruck zu erwecken, er wäre er auf der Landing Page selbst. Die Landing Page wechselt auch ständig, um Inhaltsfilter zu umgehen. Das Phishing-Kit kann auch bestimmte IP-Bereiche, Crawling-Dienste und sogar Sicherheitstools wie Schwachstellenscanner blockieren. Wenn ein Benutzer versucht, sich von einem Ort, Browser, einer IP-Adresse oder einem Land aus zu verbinden, das von den Angreifern auf die Blacklist gesetzt wurde, zeigt die Seite den Inhalt nicht an (dient einem HTTP-404-Fehler) oder der Inhalt wird von einem anderen Ort weitergeleitet. Die erste Seite des Phishing-Kits wird durch ein in Base64 kodiertes PHP-Skript generiert, um Firewalls zu vermeiden oder zu umgehen.
  • Phishing as a Service. Die Forscher fanden eine andere Gruppe, die das Kit für ihre eigenen Angriffe kaufte. Der Entwickler des Kits wies sogar seinen eigenen API-Schlüssel der Gruppe zu.
  • Versuche, legitim zu erscheinen. Der Phishing-Angriff wird von der Domain aus gesendet, basierend auf dem Herkunftsland des Opfers. In einigen der analysierten Fälle gehörte die für den Angriff verwendete Domain zu einem legitimen Unternehmen, das später zum Verkauf angeboten wurde.

Die gestohlenen Zugangsdaten werden unter Verwendung von Steganographie (Verstecken oder Einbetten von Daten in ein Bild) an eine Mail-Adresse gesendet. Im Laufe der Recherchen konnten die Sicherheitsforscher zwei ähnliche Phishing-Kits analysieren – eines für Amazon-Nutzer und das andere für den Diebstahl von PayPal-Anmeldeinformationen. Die vorliegende Analyse bezieht sich auf letzteres, da dort die meisten seiner Komponenten erfasst werden konnten.

Die Taktiken und Techniken der beiden Kits waren ähnlich, von der Website, auf der sich das Phishing-Kit befand, über die Art der Informationen, die sie stahlen, bis hin zu den verwendeten Maskierungstechniken. Beide Kits enden scheinen auch in der gleichen Phase der Benutzerüberprüfung. Diese Ähnlichkeiten könnten bedeuten, dass sie den gleichen Ursprung haben. Die Ähnlichkeit könnte auch durch den Zeitpunkt und das Ausmaß der Angriffe, die diese Kits verwendeten, verstärkt werden, da sie an dasselbe Opfer geliefert wurden.

Bild. Infektionskette von Heatstrokes Phishing-Angriff, die sich je nach Nutzer oder Verhalten ändern kann

Weitere technische Einzelheiten liefert der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.