Microsoft- und Google-Clouds für massenhaft Phishing missbraucht

Cyber Security News

Angreifer verschickten im ersten Quartal 2021 52 Millionen bösartige Nachrichten, die Office 365, Azure, OneDrive, SharePoint, G-Suite und Firebase-Speicher nutzen.

Bedrohungsakteure profitieren von der raschen Verlagerung auf Cloud-basierte Unternehmensdienste während der Pandemie, indem sie sich hinter allgegenwärtigen, vertrauenswürdigen Diensten von Microsoft und Google verstecken, um ihre E-Mail-Phishing-Betrügereien legitim aussehen zu lassen. Und es funktioniert.

Tatsächlich fanden Forscher allein in den ersten drei Monaten des Jahres 2021 7 Millionen bösartige E-Mails, die von Microsoft 365 versendet wurden, und sagenhafte 45 Millionen, die von der Google-Infrastruktur versendet wurden, berichtet Proofpoint und fügt hinzu, dass Cyberkriminelle Office 365, Azure, OneDrive, SharePoint, G-Suite und Firebase-Speicher verwendet haben, um Phishing-E-Mails zu versenden und Angriffe zu hosten.

“Das Volumen bösartiger Nachrichten von diesen vertrauenswürdigen Cloud-Diensten übertraf das aller Botnets im Jahr 2020, und der vertrauenswürdige Ruf dieser Domains, einschließlich outlook.com und sharepoint.com, erhöht die Schwierigkeit der Erkennung für Verteidiger”, erklärte der am Mittwoch veröffentlichte Bericht. “Diese Authentizitätswahrnehmung ist von entscheidender Bedeutung, da E-Mails seit Kurzem wieder der Top-Vektor für Ransomware sind und Bedrohungsakteure zunehmend die Lieferkette und das Partner-Ökosystem nutzen, um Konten zu kompromittieren, Anmeldedaten zu stehlen und Gelder abzuschöpfen.”

Da das Eindringen in ein einzelnes Konto potenziell einen weitreichenden Zugriff ermöglichen kann, berichtete ProofPoint, dass 95 Prozent der Unternehmen für die Kompromittierung von Cloud-Konten anvisiert wurden, und von diesen war mehr als die Hälfte erfolgreich. Darüber hinaus wurden bei mehr als 30 Prozent der Unternehmen, die kompromittiert wurden, “Aktivitäten nach dem Zugriff festgestellt, einschließlich Dateimanipulation, E-Mail-Weiterleitung und OAuth-Aktivitäten”.

Sobald Angreifer über Anmeldeinformationen verfügen, können sie sich leicht in einer Reihe von Diensten bewegen und diese nutzen, um zusätzliche, überzeugende Phishing-E-Mails zu versenden.

Proofpoint lieferte mehrere Beispiele für Kampagnen, die sich hinter Microsoft und Google versteckten und versuchten, Benutzer zur Preisgabe ihrer Daten oder zur Bereitstellung von Malware zu verleiten.

Eine Nachricht verwendete eine Microsoft SharePoint-URL, die angeblich auf ein Dokument mit den COVID-19-Richtlinien verlinkte. Das Team von Proofpoint berichtete, dass diese Nachricht an 5.000 Benutzer in den Bereichen Transport, Fertigung und Unternehmensdienstleistungen gesendet wurde.

In einem weiteren von Proofpoint gelieferten Beispiel wurde versucht, den Domainnamen “onmicrosoft.com” zu verwenden, um eine gefälschte E-Mail zum Sammeln von Anmeldeinformationen für Videokonferenzen zu versenden, die nach Beobachtungen der Forscher an etwa 10.000 Benutzer gesendet wurde.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/05/19160100/proofpoint-zoom.png]

Angreifer nutzten Gmail für eine weitere Kampagne, die im März begann und eine betrügerische Vorteilsnachricht zusammen mit einem Microsoft Excel-Anhang versandte, der bei aktivierten Makros den Banking-Trojaner “The Trick” auslieferte, um Anmeldedaten zu stehlen.

Ein weiterer von Gmail gehosteter Angriff im Februar versuchte, Benutzer dazu zu bringen, auf gezippte MS-Word-Dokumente zuzugreifen, indem sie ihre Passwörter eingaben. Nach dem Öffnen wurden Makros aktiviert, die Xorist-Ransomware auslieferten.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/05/19160106/Proofpoint-ransomware-message-e1621454555689.png]

Dass Angreifer Gmail und Microsoft nutzen, um ihren E-Mails den Anschein von Legitimität zu verleihen, ist Teil eines breiteren Trends: Bedrohungsakteure entwickeln immer überzeugendere Köder.

Ende Mai wies Cofense auf eine Phishing-Kampagne hin, bei der ein Office SharePoint-Theme verwendet wurde, um Sicherheits-Gateways zu umgehen.

“Unsere Untersuchungen zeigen deutlich, dass Angreifer sowohl die Microsoft- als auch die Google-Infrastruktur nutzen, um bösartige Nachrichten zu verbreiten und Menschen ins Visier zu nehmen, da sie beliebte Cloud-Collaboration-Tools nutzen”, so der Proofpoint-Bericht weiter. “In Verbindung mit der zunehmenden Kompromittierung von Ransomware, Lieferketten und Cloud-Konten muss ein fortschrittlicher, auf Menschen ausgerichteter E-Mail-Schutz eine Top-Priorität für Sicherheitsverantwortliche bleiben.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2020/03/12100600/google-cloud-logo-e1584021976174.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com