File-Hosting-Dienste zunehmend für BEC-Angriffe genutzt
Microsoft warnt vor Cyberangriffen, die Verteidigungsmechanismen umgehen, indem sie legitime Dateihosting-Dienste wie SharePoint, OneDrive und Dropbox nutzen. Diese Angriffe zielen darauf ab, Identitäten und Geräte zu kompromittieren und BEC-Angriffe (Business Email Compromise) für Finanzbetrug, Datenexfiltration und Seitwärtsbewegung zu anderen Endpunkten durchzuführen.
Das Ausnutzen legitimer Internetdienste (LIS) wird zunehmend von Angreifern genutzt, um sich unauffällig in den regulären Netzwerkverkehr einzufügen und so traditionelle Sicherheitsmaßnahmen zu umgehen. Diese Methode erschwert auch die Nachverfolgung von Angriffen.
Dieser Ansatz wird als Living-off-trusted-sites (LOTS) bezeichnet, da er die Vertrautheit und das Vertrauen in diese Dienste nutzt, um Sicherheitsbarrieren, wie etwa E-Mail-Schutzmaßnahmen, zu umgehen und Malware zu verbreiten.
Microsoft beobachtet seit April 2024 einen neuen Trend in Phishing-Kampagnen, bei denen legitime Dateihosting-Dienste ausgenutzt werden. Dabei werden Dateien mit eingeschränktem Zugriff und Nur-Ansicht-Berechtigungen verwendet.
Solche Angriffe starten oft, indem ein Angreifer einen Benutzer bei einem vertrauenswürdigen Anbieter kompromittiert und den Zugriff nutzt, um bösartige Dateien auf einem File-Hosting-Dienst wie Dropbox, OneDrive oder SharePoint zu platzieren. Diese Dateien werden gezielt mit einem Opfer geteilt.
„Die Dateien in den Phishing-E-Mails sind so eingerichtet, dass sie nur für den vorgesehenen Empfänger zugänglich sind“, erklärte Microsoft. Der Empfänger muss sich entweder bereits bei dem Dateifreigabedienst angemeldet haben oder sich per E-Mail-Adresse und Einmalpasswort (OTP), das über eine Benachrichtigung zugeschickt wird, neu authentifizieren.
Besonders perfide: Die freigegebenen Dateien sind im Nur-Ansicht-Modus gesperrt, was das Herunterladen verhindert und das Entdecken von in die Datei eingebetteten schädlichen Links erschwert. Wenn ein Empfänger versucht, auf die freigegebene Datei zuzugreifen, wird er aufgefordert, seine Identität zu bestätigen, indem er seine E-Mail-Adresse eingibt und ein einmaliges Passwort (OTP) verwendet, das an sein E-Mail-Konto gesendet wird.
Nach erfolgreicher Bestätigung wird das Opfer dann gebeten, auf einen weiteren Link zu klicken, um den eigentlichen Inhalt zu sehen. Dieser führt jedoch auf eine Adversary-in-the-Middle (AitM)-Phishing-Seite. Dort werden das Kennwort sowie die Token für die Zwei-Faktor-Authentifizierung (2FA) abgefangen. So können die Angreifer nicht nur das Konto übernehmen, sondern es auch für weitere Angriffe wie Business Email Compromise (BEC) und Finanzbetrug missbrauchen.
„Diese Kampagnen wirken zwar allgemein und zufällig, verwenden aber hochentwickelte Techniken, um Social Engineering zu betreiben, Erkennung zu umgehen und die Angriffe auf weitere Konten auszudehnen“, so das Microsoft Threat Intelligence-Team.
Die Bedrohungslage spitzt sich weiter zu – beispielsweise mit einem neuen, raffinierten AitM-Phishing-Kit namens Mamba 2FA, welches das Cybersicherheitsunternehmen Sekoia jetzt beschrieben hat. Dieses Tool wird als Phishing-as-a-Service (PhaaS) verkauft und ermöglicht es Angreifern, gezielte E-Mail-Phishing-Kampagnen durchzuführen. Eine besondere Heimtücke liegt in der Verbreitung von HTML-Anhängen, die täuschend echt wie Microsoft 365-Anmeldeseiten aussehen.
Für nur 250 US-Dollar pro Monat bietet das Kit auf Abonnementbasis Unterstützung für Microsoft Entra ID, AD FS, Drittanbieter-SSO-Dienste und sogar Verbraucherkonten. Seit seinem Start im November 2023 ist Mamba 2FA bereits aktiv im Einsatz. „Das Kit umgeht zweistufige Verifizierungen, indem es nicht Phishing-resistente MFA-Methoden wie Einmalcodes und App-Benachrichtigungen ausnutzt“, erklärt Sekoia. Um dem Vorgehen noch die Krone aufzusetzen, werden die gestohlenen Anmeldedaten und Cookies in Echtzeit über einen Telegram-Bot direkt an die Angreifer übermittelt.