Connect with us

Deutsch

Dieses Frankenstein-Monster einer Phishing-Kampagne ist hinter deinen Passwörtern her

Published

on

Microsoft hat eine ungewöhnliche Phishing-Kampagne detailliert beschrieben, die darauf abzielt, Passwörter zu stehlen, bei der ein Phishing-Kit verwendet wird, das aus Codestücken besteht, die aus der Arbeit anderer Hacker kopiert wurden.

Ein “Phishing-Kit” sind die verschiedenen Software oder Dienste, die entwickelt wurden, um Phishing-Angriffe zu erleichtern. In diesem Fall wurde das Kit von Microsoft nach einem Text, der vom Kit verwendet wird, ZooToday genannt. Microsoft bezeichnete es auch als “Franken-Phish”, da es aus verschiedenen Elementen besteht, von denen einige über öffentlich zugängliche Betrugsverkäufer zum Verkauf angeboten oder von anderen Kit-Wiederverkäufern wiederverwendet und verpackt werden.

Laut Microsoft verwendet TodayZoo die WorkMail-Domain AWSApps[.]com, um E-Mails mit Links zu Phishing-Seiten herauszugeben, die die Microsoft 365-Anmeldeseite nachahmen.

SEHEN: Ransomware: Die Suche nach Schwachstellen im eigenen Netzwerk ist der Schlüssel zur Abwehr von Angriffen

Laut Microsoft haben die Angreifer “in großem Umfang” bösartige AWS WorkMail-Konten erstellt, verwenden jedoch nur zufällig generierte Domänennamen anstelle von Namen, die ein legitimes Unternehmen repräsentieren würden. Mit anderen Worten, es ist ein grobes Phishing-Produkt, das wahrscheinlich mit einem schmalen Budget hergestellt wird, aber groß genug ist, um auffällig zu sein.

Es erregte die Aufmerksamkeit von Microsoft, weil es die Marke von Microsoft nachahmte und eine Technik namens “Null-Punkt-Schriftverschleierung” – HTML-Text mit einer Schriftgröße von Null in einer E-Mail – verwendete, um menschlicher Erkennung zu entgehen. Microsoft hat im Juli einen Anstieg bei Zero-Font-Angriffen festgestellt.

TodayZoo-Kampagnen im April und Mai dieses Jahres imitierten in der Regel Microsoft 365-Anmeldeseiten und eine Anforderung zum Zurücksetzen des Kennworts. Jedoch. Microsoft fand heraus, dass Kampagnen im August Fax- und Scannerbenachrichtigungen der Marke Xerox verwendet haben, um Mitarbeiter dazu zu bringen, ihre Zugangsdaten preiszugeben.

Die Bedrohungsforscher von Microsoft haben herausgefunden, dass die meisten Phishing-Landingpages beim Cloud-Anbieter DigitalOcean gehostet wurden. Diese Seiten waren identisch mit der Microsoft 365-Anmeldeseite.

Ein weiteres ungewöhnliches Merkmal war, dass die gestohlenen Informationen nach dem Sammeln von Anmeldeinformationen nicht an andere E-Mail-Konten weitergeleitet, sondern auf der Website selbst gespeichert wurden. Dieses Verhalten war ein Merkmal des TodayZoo-Phishing-Kits, das sich zuvor auf Phishing-Anmeldeinformationen von Zoom-Videokonferenzkonten konzentrierte.

SEHEN: Diese heimlichen Hacker meiden Windows, zielen jedoch auf Linux ab, um Telefondaten zu stehlen

Microsoft-Forscher glauben jedoch, dass es sich bei dieser Phishing-Gruppe eher um einen einzelnen Vorgang als um ein Netzwerk von Agenten handelt.

“Während viele Phishing-Kits einer Vielzahl von E-Mail-Kampagnenmustern zugeschrieben werden und umgekehrt viele E-Mail-Kampagnenmuster mit vielen Phishing-Kits in Verbindung gebracht werden, verwendeten TodayZoo-basierte Seiten ausschließlich dieselben E-Mail-Kampagnenmuster und nur alle nachfolgenden E-Mail-Kampagnen HeuteZoo-Kits aufgetaucht. Diese lassen uns glauben, dass die Akteure hinter dieser spezifischen TodayZoo-Implementierung eigenständig arbeiten”, sagte Microsoft.

Microsoft sagt, es habe Amazon über die Phishing-Kampagne von TodayZoo informiert und AWS habe “sofort Maßnahmen ergriffen”.

Continue Reading

Copyright © 2021 Meta Mag Inc.