Schlagwort-Archive: Phishing

HTML-Anhänge und Phishing in BEC-Angriffen

Originalbeitrag von Lord Alfred Remorin, Senior Threat Researcher

Angreifer gehen immer mehr dazu über, die traditionell in Business E-Mail Compromise (BEC)-Angriffen eingesetzten Keylogger für den Diebstahl von Kontoinformationen von den anvisierten Maschinen durch HTML-Seiten im Anhang zu ersetzen. Sie wirken auf den ersten Blick harmloser als Executables und sind daher wirksamer.


Bild 1. Phishing-Mail mit HTML-Anhang

Beim Öffnen des Anhangs geht ein Browser mit folgendem Inhalt auf:

Bild 2. HTML Phishing-Seite (Vergrößern durch Klicken)

Um den Nutzer weiter zu ködern, sind Logos bekannter Mail Provider in die Seite eingefügt. Gibt ein Opfer Nutzername/Kennwort – wie gefordert – ein, so werden diese Infos an ein vom Angreifer konfiguriertes PHP-Skript geschickt. Dieses wiederum sendet die Infos an ein Konto des Angreifers.

Die Untersuchung des Quellcodes des HTML-Anhangs ergab, dass er wahrscheinlich in Nigeria programmiert wurde, denn der Google-Link zeigt auf eine Version dieses Landes. Dies scheint aufgrund der Funde in nigerianischen Foren umso wahrscheinlicher. Nairaland etwa enthielt eine Werbung für Betrugsseiten. Der Verkäufer bietet verschiedene Betrugsseiten für unterschiedliche Mail-Services wie 163 Mail, Gmail, Hotmail und Yahoo Mail an.

Bild 3. Website mit Betrugsseiten für Mail Services

Keyloggers sind immer noch häufig im Einsatz, um die Konten der Opfer effizient zu stehlen. Doch die Lieferung eines Executables über Mail kann heutzutage wegen Anti-Spam-Regeln schwierig werden. Eine HTML-Seite hingegen stellt keine sofortige Bedrohung dar, es sei denn, die Datei wurde verifiziert und als Phishing-Seite erkannt.

Eine Phishing-Seite ist einfach zu codieren und zu installieren, anders als ein Keylogger, der Codierkenntnisse erfordert. Eine Phishing-Seite läuft zudem auf jeder Plattform und benötigt lediglich einen Browser.

HTML-Anhänge in Zahlen

Die Daten aus dem Trend Micro Smart Protection Network zeigen zwischen dem 1. Juli 2016 und dem 30. Juni 2017 14.867 Records und 6.664 einzigartige Hashes:

Bild 4. Zahl der BEC-bezogenen Phishing-Angriffe pro Monat

Bild 5.  BEC-bezogenen Phishing-Angriffe pro Land

Bild 6. Schlüsselwörter in BEC-bezogenen Phishing-Angriffen

Weitere Informationen zu dem Thema liefert der Originalbeitrag.

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen