Betrüger imitieren Windows-Logo mit HTML-Tabellen, um durch E-Mail-Gateways zu schlüpfen

Cyber Security News

Ein Microsoft-Gebäude in Europa. (efes, CC0, via Wikimedia Commons)

Ein kürzlich entdeckter Phishing-Betrug, der überzeugend das Microsoft Windows-Logo mit einer HTML-Tabelle imitiert, dient als neue Erinnerung daran, wie Social Engineers verschiedene Elemente in E-Mails missbrauchen können, um sowohl menschliche Empfänger als auch bestimmte Sicherheitslösungen zu täuschen.

Das Schema tauchte erstmals Ende letzten Jahres bis in den Januar hinein auf und beinhaltet die Verwendung einer Tabelle, um ein 2×2-Gitter aus Zellen zu erstellen und diese dann mit Farben zu füllen, damit die Tabelle genau wie das ikonische Windows-Logo aussieht. Das Vorhandensein dieses betrügerischen, aber dennoch authentisch aussehenden Logos verleiht den Phishing-E-Mails zusätzliche Glaubwürdigkeit und kann laut Inky einige Standard Secure Email Gateways täuschen, die dazu neigen, das Vorhandensein von Tabellen als verdächtiges Element zu übersehen.

“Diese neue Taktik stammt höchstwahrscheinlich aus einem einzigen Phishing-Kit und wird nun in mehreren Kits eingesetzt”, sagte Bukar Alibe, Cybersicherheitsanalyst bei Inky.

Während dieser spezielle Betrug neu sein mag, ist es nur die neueste Phishing-Taktik, die HTML-Tabellen einbezieht. Früher wurden HTML-Tabellen beispielsweise missbraucht, indem Kombinationen aus schwarzen und weißen Zellen verwendet wurden, um Grafiken zu erstellen, die wie URLs aussehen. Dies wird nicht mehr verwendet, da es optisch anders und verdächtig aussieht, wenn man es mit einem normalen Hyperlink vergleicht”, bemerkte Alibe.

Eine andere verwandte Technik, die verwendet wird, um Textfilter zu umgehen, besteht darin, eine Tabelle zu erstellen, alle Ränder davon zu löschen, sie so zu konfigurieren, dass die verschiedenen Datenzellen zusammengebündelt werden, und dann Textteile zu den einzelnen Zellen hinzuzufügen, um sie wie normalen Text aussehen zu lassen.

“Angreifer … brechen bösartige Wörter auf und platzieren Teile des Wortes in verschiedenen benachbarten Zellen”, sagte Alibe. “Zum Beispiel kann ein Bitcoin-Filter vereitelt werden, indem ‘bi’, ‘tco’ und ‘in’ in verschiedenen Zellen platziert werden. Dadurch wird es für Menschen lesbar und für einfache Scanner verschleiert.”

In dieser neuesten Kampagne fand Inky eine Reihe von E-Mails, die das gefälschte Microsoft-Logo verwenden, um die Empfänger dazu zu bringen, auf einen bösartigen Link zu klicken, einen waffenfähigen Anhang zu öffnen oder eine betrügerische Telefonnummer anzurufen, “wo ein böser Agent versucht, persönliche und finanzielle Informationen zu extrahieren”, heißt es in dem Bericht.

Zu den Beispielen für diese Phishing-Mails gehörte eine gefälschte Benachrichtigung über ein neues Fax von SharePoint, die einen Link enthielt, der die Opfer über eine offene Weiterleitung auf eine kompromittierte Website für Webentwicklungs-Tools führte, wo bösartige Inhalte in den Computer injiziert wurden. Andere Köder waren eine gefälschte Office 365-E-Mail mit einem Telefonpasswort, das eine gefälschte Voicemail-Benachrichtigung ablaufen ließ. Der Angriffsmechanismus, ein bösartiger Link, war in einem HTML-Anhang versteckt.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/04/example_1-1024x625.png]Eine Phishing-E-Mail mit SharePoint-Thema, die ein gefälschtes Windows-Logo enthielt.

Die Kampagne nutzte auch andere altbewährte Techniken, darunter “offene Weiterleitungen, missbrauchte Cloud-Seiten, mit Fallen versehene HTML-Anhänge, gekaperte Tools für E-Mail-Marketing-Kampagnen und Zero-Font Character Stuffing”.

Roy Rotem, Avanan-Mitbegründer und Head of Data Science, bestätigte die Präsenz dieser gefälschten Microsoft-Logo-Attacken und stellte fest, dass “wir in diesem Jahr eine Zunahme sehen.”

“Diese Angriffe nutzen HTML und CSS kreativ, um Logos, Marken und mehr zu imitieren”, erklärte Rotem. “Wir sehen eine Menge Verschleierungsmethoden gegen Office 365, und viele von ihnen sind auch gegen traditionelle, ältere E-Mail-Gateways erfolgreich. Diese Angriffe sind interessant, weil man sich nicht auf die statische HTML/CSS-Analyse verlassen kann, die traditionelle Lösungen verwenden.”

Glücklicherweise sollten Unternehmen, die über fortschrittlichere, moderne E-Mail-Sicherheitslösungen verfügen – insbesondere solche mit maschinellem Lernen und/oder Computer Vision – in der Lage sein, das gefälschte Logo zu identifizieren und diesen Angriff abzuwehren.

“In diesem Fall würde eine Maschine eine HTML-Tabelle sehen, aber die Computer Vision würde aufdecken, dass diese vermeintliche Tabelle versucht, ein Microsoft-Logo zu sein”, heißt es in dem Bericht. “Mit diesem Wissen kann das Erkennungssystem prüfen, ob der Absender wirklich Microsoft ist.”

Rotem beschrieb ein effektives Verfahren, um sich gegen solche Verschleierungsangriffe zu wehren: “Man rendert den HTML-E-Mail-Body in einer Sandbox und führt eine Bildanalyse durch … und wendet kognitive KI-Modelle an, um Ähnlichkeiten und Imitationsversuche zu finden. Durch die Verwendung von Headless-Browsern können Sie die Seite sicher rendern und KI-Modelle zur Bilderkennung anwenden, um festzustellen, ob es auf der Seite eine Imitation gibt. Diese Sicherheitsschicht ist nicht nur gegen diesen speziellen Angriff wirksam, sondern gegen eine breite Palette von Verschleierungsversuchen im HTML der E-Mail.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com