HTML-Anhänge und Phishing in BEC-Angriffen

Originalbeitrag von Lord Alfred Remorin, Senior Threat Researcher

Traditionell setzten Business E-Mail Compromise (BEC)-Angriffe Keylogger ein, um gespeicherte Kontoinformationen von den anvisierten Maschinen zu stehlen. Doch ein Executable im Anhang lässt viele Nutzer davor zurückschrecken, es anzuklicken, weil es mit hoher Wahrscheinlichkeit bösartig ist. Infolgedessen sind Angreifer dazu übergegangen, statt Executables im Anhang HTML-Seiten mitzuschicken.


Bild 1. Phishing-Mail mit HTML-Anhang

Beim Öffnen des Anhangs geht ein Browser mit folgendem Inhalt auf:

Bild 2. HTML Phishing-Seite (Vergrößern durch Klicken)

Um den Nutzer weiter zu ködern, sind Logos bekannter Mail Provider in die Seite eingefügt. Gibt ein Opfer Nutzername/Kennwort – wie gefordert – ein, so werden diese Infos an ein vom Angreifer konfiguriertes PHP-Skript geschickt. Dieses wiederum sendet die Infos an ein Konto des Angreifers.

Die Untersuchung des Quellcodes des HTML-Anhangs ergab, dass er wahrscheinlich in Nigeria programmiert wurde, denn der Google-Link zeigt auf eine Version dieses Landes. Dies scheint aufgrund der Funde in nigerianischen Foren umso wahrscheinlicher. Nairaland etwa enthielt eine Werbung für Betrugsseiten. Der Verkäufer bietet verschiedene Betrugsseiten für unterschiedliche Mail-Services wie 163 Mail, Gmail, Hotmail und Yahoo Mail an.

Bild 3. Website mit Betrugsseiten für Mail Services

Keyloggers sind immer noch häufig im Einsatz, um die Konten der Opfer effizient zu stehlen. Doch die Lieferung eines Executables über Mail kann heutzutage wegen Anti-Spam-Regeln schwierig werden. Eine HTML-Seite hingegen stellt keine sofortige Bedrohung dar, es sei denn, die Datei wurde verifiziert und als Phishing-Seite erkannt.

Eine Phishing-Seite ist einfach zu codieren und zu installieren, anders als ein Keylogger, der Codierkenntnisse erfordert. Eine Phishing-Seite läuft zudem auf jeder Plattform und benötigt lediglich einen Browser.

HTML-Anhänge in Zahlen

Die Daten aus dem Trend Micro Smart Protection Network zeigen zwischen dem 1. Juli 2016 und dem 30. Juni 2017 14.867 Records und 6.664 einzigartige Hashes:

Bild 4. Zahl der BEC-bezogenen Phishing-Angriffe pro Monat

Bild 5.  BEC-bezogenen Phishing-Angriffe pro Land

Bild 6. Schlüsselwörter in BEC-bezogenen Phishing-Angriffen

Weitere Informationen zu dem Thema liefert der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*