Hacker nutzen Website-Kontaktformulare zur Verbreitung von IcedID-Malware

Cyber Security News

Microsoft hat Unternehmen vor einer “einzigartigen” Angriffskampagne gewarnt, bei der Kontaktformulare auf Websites missbraucht werden, um bösartige Links mit gefälschten rechtlichen Drohungen per E-Mail an Unternehmen zu senden. Dies ist ein weiteres Beispiel dafür, dass Angreifer legitime Infrastrukturen missbrauchen, um Kampagnen zu starten, die Sicherheitsvorkehrungen umgehen.

“Die E-Mails fordern die Empfänger auf, auf einen Link zu klicken, um vermeintliche Beweise für die Anschuldigungen zu überprüfen, führen aber stattdessen zum Download von IcedID, einer Malware, die Informationen stiehlt”, so das Threat Intelligence Team des Unternehmens in einem am Freitag veröffentlichten Bericht.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

IceID ist ein Windows-basierter Banking-Trojaner, der zur Erkundung und Exfiltration von Bankdaten verwendet wird. Darüber hinaus verfügt er über Funktionen, die es ihm ermöglichen, sich mit einem Remote Command-and-Control (C2)-Server zu verbinden, um zusätzliche Nutzdaten wie Ransomware und Malware zu verteilen, die in der Lage ist, Angriffe über die Tastatur auszuführen, Zugangsdaten zu stehlen und sich seitlich über betroffene Netzwerke zu bewegen.

[Blocked Image: https://thehackernews.com/images/-wVFsZEkgdmg/YHWDIWPAgII/AAAAAAAACQI/AmQnAnWP4UcipiiixYjjzOfKEBXMTRjhgCLcBGAsYHQ/s0/hacking-form.jpg]

Microsoft-Forscher sagten, dass die Angreifer möglicherweise ein automatisiertes Tool verwendet haben, um die E-Mails zuzustellen, indem sie die Kontaktformulare der Unternehmen missbrauchten und dabei den CAPTCHA-Schutz umgingen. In den E-Mails selbst werden rechtliche Drohungen eingesetzt, um die Opfer einzuschüchtern, indem behauptet wird, dass die Empfänger “angeblich ihre Bilder oder Abbildungen ohne ihre Zustimmung verwendet haben und dass rechtliche Schritte gegen sie eingeleitet werden.”

[Blocked Image: https://thehackernews.com/images/-s5wPTi1sbGU/YHWDegAMtZI/AAAAAAAACQQ/ZSCtsZfKrcMoM5f3jgF8ZJMq8-Bffoz6QCLcBGAsYHQ/s0/hacking.jpg]

Indem ein Gefühl der Dringlichkeit hervorgerufen wird, soll das Opfer dazu gebracht werden, sensible Informationen preiszugeben, auf einen zweifelhaften Link zu klicken oder eine bösartige Datei zu öffnen. In dieser Infektionskette handelt es sich um einen Link zu einer sites.google.com-Seite, die den Benutzer auffordert, sich mit seinen Google-Anmeldedaten anzumelden, woraufhin automatisch eine ZIP-Archivdatei heruntergeladen wird.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Die ZIP-Datei enthält eine stark verschleierte JavaScript-Datei, die die IcedID-Malware herunterlädt. Darüber hinaus hat der Schadcode die Fähigkeit, sekundäre Implantate wie Cobalt Strike herunterzuladen, wodurch die betroffenen Opfer möglicherweise einem weiteren Risiko ausgesetzt werden.

Ungeachtet der neuartigen Eindringungsroute sind die Angriffe ein weiteres Zeichen dafür, wie Bedrohungsakteure ihre Social-Engineering-Taktiken ständig verbessern, um Unternehmen anzugreifen und Malware zu verbreiten, während sie sich der Erkennung entziehen.

“Die Szenarien […] bieten einen ernsthaften Einblick, wie ausgefeilt die Techniken der Angreifer geworden sind, während sie das Ziel beibehalten, gefährliche Malware-Payloads wie IcedID zu liefern”, so die Forscher. “Ihre Verwendung von Anmeldeformularen ist bemerkenswert, weil die E-Mails nicht die typischen Merkmale von bösartigen Nachrichten aufweisen und scheinbar legitim sind.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com