Vorsicht! Phishing-Angriffe werden durch Echtzeit-E-Mail-Validierung intelligenter
Cyberkriminelle legen die Messlatte mit einer beunruhigenden neuen Variante des Anmeldedatendiebstahls höher: Sie nutzen Echtzeit-E-Mail-Validierung, um Phishing-Angriffe effizienter und schwerer erkennbar zu machen. Forscher von Cofense haben diese neue Taktik erkannt und sie „präzisionsvalidierendes Phishing“ genannt – eine Methode, die die Zielliste auf diejenigen E-Mail-Adressen beschränkt, die als aktiv und wertvoll bestätigt wurden.
Im Gegensatz zu herkömmlichen Phishing-Kampagnen, die ein breites Netz auswerfen und auf wenige Treffer hoffen, ist dieser neue Ansatz präzise und gezielt. Anstatt betrügerische Anmeldeseiten an zufällig ausgewählte Benutzer zu senden, prüfen die Angreifer zunächst, ob die auf der Phishing-Seite eingegebene E-Mail-Adresse in ihrer Datenbank mit vorab ausgewählten Zielen vorhanden ist. Ist dies der Fall, wird dem Opfer ein gefälschter Anmeldebildschirm angezeigt, der darauf ausgelegt ist, Anmeldedaten zu stehlen. Andernfalls wird das Opfer auf eine harmlose Website wie Wikipedia umgeleitet, wodurch die Phishing-Website nicht von automatisierten Sicherheitsscannern erkannt wird.
Diese Echtzeitüberprüfung wird durch die Einbettung eines API- oder JavaScript-basierten E-Mail-Validierungstools in das Phishing-Kit ermöglicht. Das Ergebnis? Qualitativ hochwertigere gestohlene Daten, weniger Aufwand und eine Phishing-Kampagne, die für Cybersicherheitstools schwieriger zu erkennen und zu stoppen ist.
Inhaltsverzeichnis
Filtern der Opfer für maximale Wirkung
Cofense warnt, dass diese Technik nicht nur das Risiko erhöht, Anmeldeinformationen von realen, bereits genutzten Konten zu stehlen, sondern auch die Arbeit automatisierter Sandboxen und Crawler-Tools erschwert, die bösartige Websites abfangen sollen. Diese Systeme bestehen die Validierungsprüfung oft nicht, wodurch die Phishing-Seite länger aktiv bleibt und nicht als verdächtig gekennzeichnet wird.
Diese Filterung verschafft Bedrohungsakteuren einen entscheidenden Vorteil. Indem sie sich auf verifizierte Ziele konzentrieren, verringern sie ihr Risiko einer Aufdeckung und erhöhen ihre Rendite. Diese Taktik trägt zudem dazu bei, die Lebensdauer von Phishing-Kampagnen zu verlängern, was es Verteidigern erschwert, mitzuhalten.
Phishing-Trick zum Löschen von Dateien nutzt zweigleisigen Angriff
Die Gefahr wird noch dadurch verstärkt, dass Angreifer diese fortschrittlichen Taktiken mit Social-Engineering-Strategien kombinieren. Eine kürzlich beobachtete Kampagne nutzt Erinnerungen zum Löschen von Dateien als Köder. Die Opfer erhalten eine E-Mail, die scheinbar auf eine PDF-Datei verweist, die von der legitimen Filehosting-Plattform files.fm gelöscht werden soll. Klicken sie auf den Link, gelangen sie tatsächlich zum echten Hosting-Dienst, wo sie auf die vermeintliche PDF-Datei zugreifen können.
Der Haken dabei ist: Benutzern werden zwei Optionen angeboten: Vorschau oder Download. Die Vorschau öffnet eine gefälschte Microsoft-Anmeldeseite, die Anmeldeinformationen abgreifen soll, während der Download die Installation einer ausführbaren Datei auslöst, die sich als Microsoft OneDrive tarnt. Bei dem Programm handelt es sich in Wirklichkeit um ScreenConnect, ein legitimes Remote-Desktop-Tool von ConnectWise, das häufig von Cyberkriminellen für unbefugten Zugriff missbraucht wird.
Laut Cofense ist der Angriff geschickt darauf ausgelegt, das Nutzerverhalten zu manipulieren. Opfer werden gezwungen, zwischen zwei gleichermaßen gefährlichen Optionen zu wählen, die jeweils auf unterschiedliche Weise zur Kompromittierung ihres Systems führen. Diese zweigleisige Vorgehensweise stellt sicher, dass der Angreifer sein Ziel erreicht, sei es der Diebstahl von Anmeldeinformationen oder die Verbreitung von Malware.
Phishing kombiniert mit Remote-Access und Vishing-Taktiken
Eine weitere alarmierende Entwicklung: Cybersicherheitsforscher haben eine mehrstufige Angriffskampagne aufgedeckt, die Phishing mit Telefonbetrug (Vishing), Remote-Access-Tools und „Living-off-the-Land“-Techniken kombiniert. Diese ausgeklügelte Operation steht im Zusammenhang mit der Bedrohungsakteursgruppe Storm-1811 (auch bekannt als STAC5777).
Der Angriff beginnt mit einer Microsoft Teams-Nachricht, die eine schädliche PowerShell-Nutzlast enthält. Sobald der erste Zugriff erfolgt ist, nutzen Angreifer Microsofts Quick Assist-Funktion, um das System fernzusteuern. Anschließend installieren sie legitime Software wie TeamViewer zusammen mit einer seitlich geladenen schädlichen DLL und implementieren schließlich eine JavaScript-basierte Command-and-Control-Backdoor mit Node.js.
Diese Vorfälle verdeutlichen die zunehmende Komplexität und Kreativität moderner Phishing-Bedrohungen. Mit Taktiken, die technische Raffinesse und psychologische Manipulation kombinieren, gelingt es Angreifern, traditionelle Abwehrmaßnahmen zu umgehen und selbst vorsichtige Benutzer auszutricksen.
Die beste Verteidigung ist nach wie vor Wachsamkeit. Unternehmen müssen über diese neuen Bedrohungen informiert bleiben, und Benutzer sollten zweimal überlegen, bevor sie auf Links klicken, Anmeldeinformationen eingeben oder Dateien herunterladen – egal wie legitim diese erscheinen.