Sicherheitsforscher von Greathorn warnen aktuell davor, dass eine groß angelegte Phishing-Kampagne Redirect-Domains verwendet, um E-Mail-Sicherheitsfilter zu umgehen. Offene Umleitungen ermöglichen es Angreifern, eine URL von einer nicht bösartigen Website zu nehmen und eine Umleitung anzuheften, so dass der Benutzer beim Anklicken des Links zu einer Phishing-Seite geleitet wird. Dies führt zu einem Phishing-Link, der Mensch und Technik täuschen kann. Ein Nutzer kann die URL untersuchen und zu dem Schluss kommen, dass sie zu einer legitimen Website führt, während Sicherheitsfilter den Link nur schwer als bösartig einstufen können.
Das Threat-Intelligence-Team beschrieb diese Kampagne als umfassenden und mehrgleisigen Angriff, bei dem mehrere Hosting-Dienste und Webserver verwendet werden, um betrügerische Anmelde-Seiten von Office-365 zu hosten. Bösartige Links, die über Phishing-E-Mails an reguläre Benutzer weltweit zugestellt werden, umgehen die nativen Sicherheitskontrollen ihrer E-Mail-Provider und schlüpfen an fast jeder älteren E-Mail-Sicherheitsplattform auf dem Markt vorbei. Aufgrund der Ähnlichkeiten zwischen den Phishing-E-Mails und den bösartigen Websites glauben die Sicherheitsforscher, dass ein einziger Akteur hinter der Kampagne steht.
Die URLs in den Phishing-E-Mails, die an die Benutzer gesendet werden, variieren. Einige verwenden Umleitungen, andere verweisen direkt auf die Seiten des Phishing-Kits. Das Phishing-Kit selbst verwendet in fast allen Fällen die gleiche Namensstruktur: http://t.****/r/, wobei *** für die Domäne steht. Der URL-Pfad variiert jedoch bei den einzelnen Nachrichten als Teil einer gemeinsamen Taktik, mit der einfache Blockierungsregeln umgangen werden, die verhindern, dass diese Nachrichten die Benutzer erreichen. Die Phishing-Seiten sind darauf ausgelegt, Anmeldeinformationen zu stehlen, aber sie enthalten auch Javascript, das Malware auf dem Computer des Opfers installiert.
Die Phishing-Webseiten geben sich als Microsoft-Office-365-Anmeldung aus, verwenden das Microsoft-Logo und fordern die Benutzer auf, ihr Passwort einzugeben, ihr Konto zu verifizieren oder sich anzumelden. Angesichts der Breite und der sehr zielgerichteten Art dieser Kampagne, lassen die Raffinesse und Komplexität darauf schließen, dass die Angreifer erhebliche koordinierte Anstrengungen unternehmen. Darüber hinaus identifizierten die Sicherheitsforscher Versuche, den Cryxos-Trojaner auf mehreren Browsern, darunter Chrome und Safari, einzusetzen.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4