Neue Phishing-Attacken fokussieren Organisationen in der EU und den USA
Cybersecurity-Experten haben eine neue Bedrohung identifiziert: eine Welle von Phishing-Angriffen, die darauf abzielen, sensible Informationen zu stehlen. Diese Angriffe nutzen eine fortschrittliche Schadsoftware namens StrelaStealer. Betroffen sind über 100 Organisationen sowohl in der EU als auch den USA.
Forscher von Palo Alto Networks Unit 42 berichten, dass diese Angriffe in Form von Spam-E-Mails auftreten, die Anhänge enthalten, welche letztendlich die Schadsoftware StrelaStealer aktivieren. Um Entdeckung zu vermeiden, ändern die Angreifer das Format der Anhänge von einer Kampagne zur nächsten, um nicht aufgrund vorheriger Signaturen oder Muster erkannt zu werden.
StrelaStealer wurde im November 2022 erstmals identifiziert. Sein Ziel ist es, Anmeldedaten von bekannten E-Mail-Clients zu erfassen und sie dann auf Server zu übertragen, die von den Angreifern kontrolliert werden.
Seitdem wurden im November 2023 und Januar 2024 zwei große Angriffswellen mit dieser Schadsoftware entdeckt. Sie richteten sich gegen Branchen wie Hightech, Finanzen, Recht, Fertigung, Regierung, Energie, Versicherungen und Bauwesen in der EU und den USA.
Diese Angriffe haben auch das Ziel, eine verbesserte Version des Stealers zu verbreiten, die raffiniertere Verschleierungs- und Anti-Analyse-Techniken nutzt. Diese werden über E-Mails mit ZIP-Anhängen verbreitet, was eine Abkehr von der bisherigen Verwendung von ISO-Dateien darstellt.
Die ZIP-Archive enthalten eine JavaScript-Datei, die eine Batch-Datei speichert. Diese Batch-Datei wiederum startet die Stealer-Schadsoftware mithilfe von rundll32.exe, einer legitimen Windows-Komponente, die für die Ausführung dynamischer 32-Bit-Link-Bibliotheken verantwortlich ist.
Darüber hinaus nutzt die Stealer-Malware verschiedene Verschleierungstechniken, um die Analyse in Sandbox-Umgebungen zu erschweren.
„Mit jeder neuen Welle von E-Mail-Kampagnen aktualisieren die Angreifer sowohl den E-Mail-Anhang, der die Infektionskette startet, als auch die eigentliche Schadsoftware“, betonen die Forscher.
Gleichzeitig hat Symantec, ein Unternehmen von Broadcom, herausgefunden, dass gefälschte Installationsprogramme für bekannte Anwendungen oder gecrackte Software, die auf Plattformen wie GitHub, Mega oder Dropbox gehostet werden, als Einfallstore für eine Schadsoftware namens Stealc dienen.
Zusätzlich wurden bei Phishing-Angriffen auch die Schadsoftware Revenge RAT und Remcos RAT (auch bekannt als Rescoms) beobachtet. Letztere wird über einen Cryptor-as-a-Service (CaaS) namens AceCryptor verbreitet, wie ESET berichtet.
Laut Telemetriedaten wurde Rescoms in der zweiten Hälfte des Jahres 2023 zur am häufigsten gepackten Malware-Familie von AceCryptor. Mehr als die Hälfte dieser Angriffe fanden in Polen statt, gefolgt von Serbien, Spanien, Bulgarien und der Slowakei.
Im zweiten Halbjahr 2023 wurden auch andere bekannte Malware-Varianten in AceCryptor gepackt. Dazu gehören SmokeLoader, STOP-Ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou und Stealc. Viele dieser Malware-Typen wurden auch über PrivateLoader verbreitet.
Ein weiterer betrügerischer Trick, den Secureworks beobachtet hat, zielt darauf ab, Menschen anzulocken, die online nach Informationen über kürzlich verstorbene Personen suchen. Dazu werden gefälschte Todesanzeigen auf betrügerischen Websites platziert, und durch Suchmaschinenoptimierung (SEO) werden Besucher auf diese Websites geleitet. Das Ziel besteht darin, Adware und andere unerwünschte Programme zu verbreiten.
Wenn Besucher diese Websites aufrufen, werden sie auf Dating- oder Erwachsenenunterhaltungs-Websites weitergeleitet oder erhalten CAPTCHA-Aufforderungen. Diese Aufforderungen können Web-Push-Benachrichtigungen oder Popup-Werbung installieren, wenn darauf geklickt wird. Die Benachrichtigungen zeigen falsche Viruswarnungen von bekannten Antivirenprogrammen wie McAfee und Windows Defender an, und sie bleiben im Browser bestehen, selbst wenn das Opfer auf eine der Schaltflächen klickt.
Die Schaltflächen führen zu legitimen Zielseiten für Antivirensoftware im Abonnementmodell, und eine in den Hyperlink eingebettete Affiliate-ID belohnt die Bedrohungsakteure für neue Abonnements oder Verlängerungen.
Obwohl das gefälschte Unternehmen derzeit darauf beschränkt ist, Betrüger über Partnerprogramme für Antivirensoftware zu unterstützen, könnten die Angriffsmethoden leicht umgestaltet werden, um Informationsdiebe und andere schädliche Programme zu verbreiten, was die Bedrohung noch größer macht.
In ähnlicher Weise arbeitet auch ein neu entdeckter Aktivitätscluster namens Fluffy Wolf, der Phishing-E-Mails mit ausführbaren Anhängen verwendet. Dadurch verbreiten sich verschiedene Bedrohungen wie MetaStealer, Warzone RAT, XMRig Miner und ein legales Remote-Desktop-Tool namens Remote Utilities.
Diese Kampagne verdeutlicht, dass sogar weniger erfahrene Angreifer Malware-as-a-Service (MaaS)-Systeme nutzen können, um erfolgreich weitreichende Angriffe durchzuführen und sensible Informationen zu stehlen, die dann gewinnbringend weiterverkauft werden können.
„Obwohl diese Angreifer nur über durchschnittliche technische Fähigkeiten verfügen, erreichen sie ihre Ziele mit nur zwei Werkzeugen: legitimen Fernzugriffsdiensten und kostengünstiger Malware“, erklärt BI.ZONE.