Phishing-Kampagne nutzt gekaperte Emails für das Ablegen von URSNIF

Originalbeitrag von Erika Mendoza, Anjali Patil und Jay Yaneza

Die meisten Phishing-Kampagnen sind ziemlich einfach gestrickt und leicht zu entdecken (Üblicherweise umfassen sie eine legitim aussehende Mail, häufig mit einem bösartigen Anhang oder Link im Text). Die im September entdeckte Spam-Kampagne jedoch weist auf eine ausgefeiltere Form des Phishings hin. Sie nutzt gekaperte Mail-Konten, um Schadsoftware als Teil oder als Antwort auf einen vorhandenen Mail-Thread zu versenden. Da es sich um einen Teil einer legitimen und noch laufenden Konversation handelt, kann dieser Ansatz sehr knifflig und schwer zu entdecken sein. Häufig merken die Opfer erst zu spät, dass sie angegriffen wurden.

Diese Angriffe sind denen der früheren von Talos entdeckten URSNIF/GOZI Spam-Kampagne sehr ähnlich. Die Kampagne nutzte gekaperte Computer als Teil des Dark Cloud Botnets, um Mails an vorhandene Konversationen zu verschicken. Der aktuelle Angriff könnte also eine Weiterentwicklung dieses früheren sein. Die bislang gesammelten Daten zeigen, dass die Kampagne vor allem Nordamerika und Europa betrifft, aber es wurden ähnliche Angriffe auch in Asien und Lateinamerika registriert. Vor allem Organisationen aus den Bereichen Bildung, Finanzen und Energieversorgung sind zu vorrangigen Zielen des Betrugs geworden. Doch auch Immobilien, Transport, Fertigung und Regierungsbehörden sind ins Visier der Angreifer geraten.

Als Beispiel dafür, wie überzeugend dieser Phishing-Ansatz sein kann, dient die in der Abbildung gezeigte Mail:

Beispiel einer bösartigen Mail, die als Antwort in einer Konversation dient

Der Absender ist dem Empfänger bekannt und die Nachricht Teil der Konversation – sehr überzeugend. Auch der Betreff und die Grammatik scheinen korrekt zu sein, und es gibt sogar eine Signatur. Dennoch zeigen sich bei näherer Betrachtung verdächtige Elemente: Am deutlichsten ist der Wechsel der Sprache. Auch unterscheidet sich die Signatur von denen in legitimen Mails. Und schließlich ist die Nachricht generisch ohne Kontext. Das sind alles Anzeichen, die einen Verdacht nahelegen. Technische Details zur Analyse des Angriffs und Indicators of Compromise umfasst der Originalartikel.

Verteidigung und Best Practices

Der Trick bei diesen Angriffen ist die Tatsache, dass der Absender tatsächlich eine Organisation mit einem reellen Anwenderkonto ist. Das bedeutet, Nutzer sollten ihre Online-Konten möglichst gut schützen, etwa über Zweifaktor-Authentifizierung. Zusätzlich können folgende Best Practices dazu beitragen, Phishing-Angriffe zu verhindern:

  • Alle Nutzer eines Unternehmens sollten verdächtige Mails erkennen können, also wissen was Phishing-Angriffe sind.
  • Jede verdächtige Anfrage, etwa nach Finanztransaktionen, sollte von entsprechenden Verantwortlichen überprüft werden.
  • Kein Dokument anklicken, dass Sicherheits-Settings in Word ändern will.
  • Wachsam sein bei allen Nachrichten, die keinen Kontext haben oder sonstige verdächtige Merkmale aufweisen.

Trend Micro-Lösungen

Die Trend Micro Endpoint-Lösungen Smart Protection Suites und  Trend Micro Worry-Free Services Advanced können Unternehmen vor Bedrohungen schützen, weil sie bösartige Dateien und Nachrichten erkennen und auch alle damit verbundenen bösartigen URLs blockieren. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Zusätzliche Analysen von Mark Manahan, Chloe Ordonia und Monte De Jesus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.