BazarBackdoor-Phishing-Kampagne vermeidet Links und Dateien, um keine roten Fahnen zu wecken

Cyber Security News

Zwei zusammenhängende Phishing-Kampagnen haben in diesem Jahr den ungewöhnlichen Schritt unternommen, absichtlich auf bösartige Links oder Anhänge in ihren E-Mails zu verzichten – ein Zeichen dafür, dass Bedrohungsakteure die Notwendigkeit erkennen, sich neue Taktiken auszudenken. Hier bereiten Mitarbeiter am Tag vor der Technologiemesse CeBIT 2012 eine Präsentation vor. (Sean Gallup/Getty Images)

Zwei zusammenhängende Phishing-Kampagnen in diesem Jahr gingen den ungewöhnlichen Schritt, absichtlich bösartige Links oder Anhänge in ihren E-Mails zu vermeiden – ein Zeichen dafür, dass Bedrohungsakteure die Herausforderungen erkennen, die sichere E-Mail-Gateways und Sandbox-Regeln sowie zunehmend versierte Benutzer darstellen.

In einem Blog-Beitrag in dieser Woche berichtete Cofense, dass Akteure, die die BazarBackdoor-Malware verwenden, mit Umwegen experimentiert haben, um Benutzer zur Selbstinfektion zu bewegen. Eine Kampagne zeigte eine betrügerische Rechnung, die auf eine bösartige Website verwies, aber nicht direkt mit ihr verlinkt war. Stattdessen setzen die Angreifer darauf, dass die Benutzer die URL in ihren Browsern eintippen oder einfügen. Eine zweite Kampagne enthielt eine Telefonnummer, die, wenn sie angerufen wird, einen gefälschten Firmenvertreter erreicht, der versucht, den Benutzer zum Besuch einer vom Angreifer kontrollierten Website zu verleiten.

“Das Bemerkenswerte daran ist, dass wir diese Art von Dingen normalerweise nicht sehen”, sagte Joseph Gallop, ein Intelligence Analysis Manager bei Cofense, in einem Interview mit SC Media. “Normalerweise versuchen Bedrohungsakteure, den Weg zur Kompromittierung für das Opfer so einfach wie möglich zu gestalten.”

Obwohl dies vielleicht ungewöhnlich ist, könnte es im Laufe der Zeit immer alltäglicher werden. “Es gibt eine Zunahme von datei- und linklosen Angriffen, die darauf abzielen, Benutzer dazu zu verleiten, etwas zu tun, was sie eigentlich nicht tun sollten, außer auf Links zu klicken oder Anhänge zu öffnen”, sagte Eyal Benishti, CEO von Ironscales. “Bei den meisten dieser Angriffe handelt es sich um BEC-Attacken, bei denen sich ein bekannter interner oder externer Absender ausgibt und versucht, Benutzer dazu zu verleiten, Geld zu überweisen, gefälschte Rechnungen zu bezahlen, Datensätze von Bankkonten zu ändern, Geschenkkarten oder andere Waren zu kaufen, und die Herausforderung für die Verteidiger besteht nun darin, Kommunikationen mit böswilligen Absichten und nicht unbedingt mit böswilligen Inhalten zu erkennen und zu blockieren.”

Der umständliche Weg der BazarBackdoor-Kampagnen zur Infektion beruht auf der Bereitschaft des Opfers, ein wenig zusätzliche Arbeit zu leisten, aber hinter diesem Risiko steckt eine Strategie: “Benutzer von Unternehmensnetzwerken werden zunehmend darauf konditioniert, bösartige Links und Anhänge zu erkennen”, heißt es im Cofense-Bericht. Die Abwesenheit scheinbar bösartiger Links und Anhänge kann daher potenzielle Empfänger in Selbstgefälligkeit wiegen… Wenn die hier im Spiel befindlichen Umgehungstaktiken nicht erkannt werden, könnte dies dazu führen, dass eine Kompromittierung unbemerkt bleibt.

In der Tat “wissen Bedrohungsakteure, womit sie es zu tun haben, und in den meisten Fällen wissen sie auch, was die meisten Unternehmen zur Verteidigung ihrer Umgebung einsetzen”, fügte Benishti hinzu. “Sie wissen, dass Unternehmen besser gegen Malware geschützt sind und über bessere Bedrohungsinformationen verfügen, aber dass das menschliche Glied immer noch ein schwaches Glied ist. Sie wissen, dass die meisten aktuellen technischen Kontrollen und Filter einen blinden Fleck für Social Engineering und BEC haben und dass das Senden der richtigen Nachricht im richtigen Kontext diese Lösungen umgehen und die Endbenutzer zum Engagement verleiten wird.”

Ein E-Mail-Beispiel aus der Kampagne, das Anfang Februar entdeckt wurde, enthielt eine angebliche Auftragsbestätigung von einer gefälschten Pharmafirma. In ähnlichen Mitteilungen gaben sich die Angreifer auch als Vertreter von Firmen für Bürobedarf, Blumenlieferungen und Dessous aus. In der E-Mail befanden sich eine Bestellnummer und eine gefälschte Rechnung im PDF-Format, die jedoch keine Malware enthielt. Allerdings verwies die Rechnung auf die Domain fiercepharma[.]net.

Benutzer geben diese Domain in ihren Browser ein und klicken anschließend auf die Seite “Cancel Order” (Bestellung stornieren). Sie werden aufgefordert, ihre Bestellnummer einzugeben, und werden dann auf eine weitere Website weitergeleitet, die eine Excel-Tabelle liefert. Die Seite versucht, Opfer dazu zu verleiten, bösartige Makros zu aktivieren, damit die BazarBackdoor-Malware übertragen werden kann. Diese Malware der ersten Stufe kann später zu bedeutenden sekundären Nutzlasten führen, einschließlich Ryuk-Ransomware.

Cofense-Forscher fanden im März die zweite Version des Phishing-Betrugs. Diese E-Mails verwendeten Köder, die vor gekündigten Abonnements, auslaufenden Abonnementgebühren oder kostenlosen Testversionen warnten und eine Telefonnummer enthielten, die die Benutzer anrufen sollten.

Wenn die Benutzer die Telefonnummer anrufen, werden sie von einem gefälschten Vertreter des Unternehmens begrüßt, das sich angeblich gemeldet hatte. An diesem Punkt versucht der gefälschte Vertreter, das potenzielle Opfer dazu zu bringen, eine Website zu besuchen, auf der sie wiederum von BazarBackdoor infiziert werden können.

“Natürlich gibt es eine Reihe von Variationen der Technik, die Bedrohungsakteure verwenden könnten, wie das Ersetzen der Bestellbestätigung durch einen Geschenkgutschein”, so Gallop. “Aber im Grunde ist es das Gleiche. Die Leute dazu zu bringen, auf die Website zu navigieren oder eine Nummer anzurufen, ohne ihnen eine direkte Möglichkeit zu geben, dies zu tun.”

Wie kann man also diesen Betrug erkennen und stoppen? “Wie bei jeder anderen Art von Nachricht, die verdächtig erscheint, gehen Sie direkt auf die Website, um Kontaktinformationen zu erhalten”, so Gallop. “Benutzen Sie das Produkt, auf das sich der Betrug bezieht, überhaupt? Viele dieser Nachrichten haben ein ‘Verbraucher’-Thema für Produkte, die in Ihrem Unternehmen wahrscheinlich nicht verwendet werden. Melden Sie diese also Ihrem Sicherheitsteam oder löschen Sie sie einfach, wie Sie es mit jeder anderen Art von Spam tun würden.”

Benishti hat auch einige Ratschläge verteilt: “Rufen Sie niemals eine Nummer an, die Sie in einer E-Mail erhalten, und folgen Sie niemals dem E-Mail-Link. Gehen Sie immer direkt auf die Website des Anbieters, suchen Sie die Seite ‘Contact us’ und verwenden Sie öffentlich zugängliche E-Mail-Adressen, Telefonnummern und URLs. Denken Sie daran, wie einfach es ist, eine gefälschte E-Mail zu erstellen und vorzugeben, jemand anderes zu sein.”

“Achten Sie außerdem auf gängige Methoden zum Verstecken von URLs (es wird kein Link angezeigt und er wird als einfacher Text dargestellt, [and] suchen Sie nach Sonderzeichen, die eingefügt wurden, um Filter zu täuschen, seltsame Abstände und alles, was so aussieht, als ob es entwickelt wurde, um die Mustererkennung zu umgehen. Bleiben Sie skeptisch und wachsam und rüsten Sie Ihr Unternehmen vor allem mit den richtigen Tools aus und schulen Sie Ihre Mitarbeiter kontinuierlich.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com