Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Phishing-Kampagne prüft E-Mail-Adressen in Echtzeit auf Funktion und Wert

Eine neue, raffinierte Phishing-Masche sorgt dafür, dass erbeutete Zugangsdaten direkt mit echten, aktiven und wertvollen Online-Konten verknüpft sind – und damit sofort für Angreifer nutzbar. Es geht also um den Klau funktionierender Zugangsdaten lohnender Ziele.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Die Sicherheitsfirma Cofense warnt vor einer neuen, besonders raffinierten Phishing-Methode namens „Precision-Validating Phishing“. Dabei prüfen Angreifer in Echtzeit, ob eine eingegebene E-Mail-Adresse tatsächlich existiert und aktiv genutzt wird – noch bevor überhaupt eine gefälschte Log-in-Seite angezeigt wird.

„Die Methode zielt direkt auf eine vorausgewählte Liste gültiger, lohnenswerter E-Mail-Konten ab – und steigert so die Erfolgsquote deutlich“, erklärt Cofense.

Im Unterschied zu klassischen „Spray-and-Pray“-Angriffen, bei denen Phishing-Mails massenhaft und wahllos versendet werden, setzt diese Technik auf Präzision statt Streuverlust: Nur vorab validierte und interessante E-Mail-Adressen werden tatsächlich mit einem täuschend echten Log-in-Formular konfrontiert.

So funktioniert die Methode

  • Gibt eine Person ihre E-Mail-Adresse auf einer gefälschten Seite ein, wird diese direkt mit einer internen Liste der Angreifer abgeglichen.
  • Nur wenn die Adresse gültig und aktiv ist, geht der Angriff weiter – das Opfer sieht dann eine täuschend echte Log-in-Maske.
  • Unbekannte oder nicht relevante Adressen bekommen entweder eine Fehlermeldung oder werden harmlos auf eine bekannte Seite wie Wikipedia umgeleitet. Das soll Sicherheitssysteme austricksen, die automatisch nach Phishing-Seiten suchen.

Was diese Methode so gefährlich macht

  • Sie ist gezielt, statt massenhaft: Nur vorab ausgewählte Ziele werden überhaupt angegriffen.
  • Die Angreifer erhalten fast nur verwertbare Zugangsdaten, weil sie vorher sicherstellen, dass die Konten echt und aktiv sind.
  • Sicherheitsprogramme und automatische Scanner erkennen diese Seiten schwerer, weil sie die versteckte Prüfung nicht bestehen – und deshalb die gefährlichen Inhalte nie zu sehen bekommen.

Durch den Einsatz von JavaScript oder API-Diensten zur E-Mail-Prüfung wird diese Methode technisch leicht umsetzbar – aber für herkömmliche Schutzmechanismen schwer zu durchschauen.

Ein weiterer Vorteil für die Angreifer: Automatisierte Sicherheits-Crawler und Sandbox-Systeme können diese Technik nur schwer analysieren, da sie nicht an der Filterprüfung vorbeikommen. Das senkt das Risiko für die Täter – und verlängert die Aktivitätsspanne der Phishing-Kampagnen erheblich.

Weitere aktuelle Phishing-Kampagnen

Neben Precision-Validating Phishing hat Cofense auch eine mehrstufige Phishing-Kampagne aufgedeckt. Diese nutzt gezielt Datei-Löschbenachrichtigungen als Köder, um sowohl Zugangsdaten zu stehlen als auch Schadsoftware zu installieren.

Im Zentrum des Angriffs steht eine täuschend echt gestaltete E-Mail, die vorgibt, auf eine PDF-Datei hinzuweisen, die kurz vor dem Löschen steht – gehostet bei der real existierenden Plattform files.fm. Der enthaltene Link führt tatsächlich zu einem authentischen files.fm-Link, über den der vermeintliche PDF-Download angeboten wird.

Wird die Datei geöffnet, haben Nutzer zwei scheinbar sinnvolle Auswahlmöglichkeiten:

  • „Datei ansehen“: Diese Option leitet auf eine gefälschte Microsoft-Anmeldeseite weiter, mit dem Ziel, Zugangsdaten abzugreifen.
  • „Datei herunterladen“: Diese Variante installiert eine ausführbare Datei, die sich als Microsoft OneDrive ausgibt – tatsächlich aber handelt es sich um die Fernzugriffssoftware ScreenConnect von ConnectWise.

Cofense beschreibt das Vorgehen als eine Art psychologischer Zwangslage: „Es ist, als hätte der Angreifer die Falle mit Absicht so gebaut, dass das Opfer gar keine harmlose Wahl mehr hat – egal, welchen Weg es nimmt, es läuft ins Messer“, beschreibt Cofense. „Beide Optionen führen zum gleichen Ergebnis: Das Ziel wird erreicht – nur auf unterschiedliche Weise.“

Besonders gefährlich ist dabei die Kombination aus echt wirkenden Diensten, bekannten Marken und multifunktionalen Tools, die nicht sofort als Schadsoftware eingestuft werden. Die Nutzung von ScreenConnect erschwert die Entdeckung zusätzlich, da die Software legal und in vielen IT-Umgebungen weitverbreitet ist.

Phishing mit telefonischem Social Engineering

Fast zeitgleich berichtet die Sicherheitsfirma Ontinue von einer hochkomplexen Angriffskampagne, bei der gezielt telefonisches Social Engineering (Vishing) mit Fernwartungstools und sogenannten „Living-off-the-Land“-Techniken kombiniert wird. Die dabei beobachteten Muster deuten auf bekannte Angreifergruppen wie Storm-1811 und STAC5777 hin.

Der Ablauf dieser ausgeklügelten Angriffskette beginnt mit einer präparierten Nachricht über Microsoft Teams, in der eine schädliche PowerShell-Nutzlast versteckt ist. Klickt das Opfer auf die Nachricht, laden die Angreifer in einem zweiten Schritt das Fernwartungstool Quick Assist, um sich direkten Zugriff auf das Zielsystem zu verschaffen.

Anschließend kommen signierte, also scheinbar vertrauenswürdige Programme wie TeamViewer.exe zum Einsatz. Über diese schleusen die Angreifer eine manipulierte DLL-Datei (TV.dll) in das System – ein klassisches Beispiel für sogenanntes DLL Sideloading, bei dem schadhafter Code in legitime Anwendungen eingeschleust wird.

Im letzten Schritt wird eine JavaScript-basierte Hintertür (Backdoor) über Node.js ausgeführt. Dadurch entsteht ein stabiler und verdeckter Kommunikationskanal, über den die Angreifer dauerhaft mit dem kompromittierten System verbunden bleiben – und es nach Belieben weiter manipulieren können.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.