Akteure überarbeiten Materialien für Phishing-Kampagnen, um mehr staatliche Auftragnehmer mit Microsoft 365 zum Opfer zu bringen

Eine Gruppe böswilliger Akteure hat ihre Phishing-Kampagnen ausgeweitet, um große Unternehmen (insbesondere in den Bereichen Energie, professionelle Dienstleistungen und Bauwesen) dazu zu bringen, ihre Phishing-Kampagnen einzureichen Microsoft Office 365 Kontoanmeldeinformationen. Laut einem Bericht des Unternehmens für Phishing-Erkennungs- und -Antwortlösungen Kaffeehaben die Kampagnenbetreiber den Prozess und das Design ihrer Köderelemente verbessert und tarnen sich nun als andere US-Regierungsbehörden wie das Verkehrsministerium, das Handelsministerium und das Arbeitsministerium.

„Bedrohungsakteure führen eine Reihe von Kampagnen durch, um mehrere Abteilungen der Regierung der Vereinigten Staaten zu fälschen“, sagte Cofense. „Die E-Mails geben vor, Angebote für Regierungsprojekte anzufordern, führen die Opfer aber stattdessen zu Anmeldedaten-Phishing-Seiten. Diese Kampagnen laufen seit mindestens Mitte 2019 und wurden erstmals in unserem Flash Alert im Juli 2019 behandelt. Diese fortschrittlichen Kampagnen sind gut ausgearbeitet, wurden in Umgebungen gesehen, die durch sichere E-Mail-Gateways (SEGs) geschützt sind, sind sehr überzeugend und erscheinen gezielt werden. Sie haben sich im Laufe der Zeit weiterentwickelt, indem sie die E-Mail-Inhalte, die PDF-Inhalte sowie das Erscheinungsbild und Verhalten der Anmeldedaten-Phishing-Seiten verbessert haben.“

Cofense zeigte eine Reihe von Screenshots, in denen die früheren und aktuellen Materialien verglichen wurden, die von den Angreifern verwendet wurden. Diese Verbesserungen erhalten zuerst die E-Mails und PDFs, die jetzt angepasst werden, um authentischer zu wirken. „Frühere E-Mails hatten einfachere E-Mail-Texte ohne Logos und mit relativ einfacher Sprache“, fügte Cofense hinzu. „In den neueren E-Mails wurden Logos, Signaturblöcke, einheitliche Formatierungen und detailliertere Anweisungen verwendet. Aktuelle E-Mails enthalten auch Links zum Zugriff auf die PDFs, anstatt sie direkt anzuhängen.“

Andererseits haben die Bedrohungsakteure, um dem Verdacht der Opfer vorzubeugen, auch Änderungen an der Credential-Phishing-Seite vorgenommen, vom Anmeldevorgang bis hin zu Design und Themen. Die URLs der Seiten wurden auch absichtlich in längere geändert (z. B. Transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), sodass Ziele in kleineren Browsern nur den .gov-Teil sehen Fenster. Darüber hinaus enthält die Kampagne jetzt Captcha-Anforderungen und andere Anweisungen, um den Prozess glaubwürdiger zu machen.

Die Verfeinerungen in solchen Kampagnen erschweren es den Zielen, echte Websites und Dokumente von gefälschten zu unterscheiden, insbesondere jetzt, da die Akteure aktualisierte Informationen verwenden, die aus Originalquellen kopiert wurden. Dennoch betonte Cofense, dass es immer noch Möglichkeiten gebe, zu verhindern, Opfer dieser Taten zu werden. Abgesehen von der Erkennung kleiner Details (z. B. falsches Datum auf Seiten und verdächtige URLs) müssen alle Empfänger immer vorsichtig sein, wenn sie auf Links klicken, nicht nur auf die in E-Mails eingebetteten, sondern auch auf die in Anhängen.