Zweistufige Phishing-Angriffe werden nicht verschwinden
Update, 18. November 2024: Diese Geschichte, die ursprünglich am 17. November veröffentlicht wurde, enthält nun einen neuen Bericht über eine andere Taktik, die zunehmend von Bedrohungsakteuren bei Phishing-Cyberangriffen eingesetzt wird.
So wie Sicherheitsexperten Ihnen sagen werden, dass mehrschichtige Verteidigungsstrategien die besten sind, wenn es darum geht, erfolgreiche Angriffe abzuwehren, so werden Angreifer bei der Ausführung ihrer Cyber-Angriffe oft auf genau das Gleiche achten. Zweistufige Phishing-Angriffe sind nach den Worten von Sicherheitsforschern von Perception Point „zu einem Eckpfeiler der modernen Cyberkriminalität geworden“ und nutzen vertrauenswürdige Plattformen, „um bösartige Inhalte in Schichten bereitzustellen und so einer Erkennung zu entgehen“. Alles ändert sich, aber alles bleibt gleich. Dieselben Forscher haben vor einer neuen Angriffsmethode gewarnt, die solche 2SP-Taktiken nutzt, aber Microsoft Visio-Dateien als neue Umgehungstaktik einbezieht. Hier erfahren Sie, worauf Sie achten müssen und welche Maßnahmen Sie ergreifen können, um das Risiko zu verringern, Opfer dieser neuen 2SP-Cyberangriffe zu werden.
Zweistufige Cyber-Angriffe sind der Höhepunkt von Phishing by Design
Eine neue Analyse, die von Peleg Cabra, dem Produktmarketingmanager bei Perception Point, veröffentlicht wurde, hat enthüllt, wie Sicherheitsforscher des Anbieters herausgefunden haben, dass sich Bedrohungsakteure zunehmend an sie wenden die Verwendung von Microsoft Visio-Dateien im .vsdx-Format, um einer Erkennung zu entgehen bei Cyberangriffen, die Zugangsdaten stehlen.
Da Visio ein am Arbeitsplatz häufig verwendetes Tool zur Visualisierung komplexer Daten oder Arbeitsabläufe ist, passt die Verwendung von Dateien im .vsdx-Format gut zur Strategie der Bedrohungsakteure der „harmlosen Vertrautheit“, die im Mittelpunkt vieler Phishing-Angriffe steht. Nun, so die Forscher von Perception Point, werden genau dieselben Dateien als Waffe für die Übermittlung bösartiger URLs im Rahmen eines zweistufigen Phishing-Angriffsszenarios eingesetzt: Den Köder fallen lassen und die Falle stellen.
Die Sicherheitsforscher beschrieben, was sie als „dramatischen Anstieg zweistufiger Phishing-Angriffe unter Nutzung von .vsdx-Dateien“ bezeichneten, und erklärten, dass die Cyber-Angriffe „a Ausgeklügelte zweistufige Phishing-Taktikendie Hunderte von Organisationen weltweit mit einer neuen Täuschungsebene ins Visier nimmt, die darauf abzielt, der Entdeckung zu entgehen und das Vertrauen der Benutzer auszunutzen.“
Entwicklung der zweistufigen Phishing-Cyberangriffe
Wenn eine solche Warnung notwendig wäre, dann hier: Die Sicherheit von E-Mail-Konten ist von entscheidender Bedeutung, wenn Cyberangriffe wie diese neuesten zweistufigen Phishing-Angriffe gestoppt werden sollen. Warum so? Denn, so die Forscher, sie begannen damit, dass Bedrohungsakteure gehackte E-Mail-Konten ausnutzten, um E-Mails zu versenden, die grundlegende Authentifizierungsprüfungen bestehen, da sie von echten Domänen stammten.
Diese E-Mails enthalten eine übliche Phishing-Komponente, die den Empfänger in die Falle locken soll: ein Geschäftsangebot oder eine Bestellung, begleitet von einer dringenden Aufforderung zur Ansicht und Beantwortung. Wenn das Opfer genau das tut und auf die URL klickt, wird es natürlich zur Falle selbst geführt: einer oft kompromittierten Microsoft SharePoint-Seite selbst, aber egal, auf welcher Seite eine .vsdx-Viso-Datei gehostet wird. An diesem Punkt beginnen sich die Schichten des Cyberangriffs zu entfalten, da eine weitere URL in diese Datei eingebettet ist und sich hinter einem befindet, den die Forscher als anklickbaren Call-to-Action beschrieben haben, meist einer Schaltfläche „Dokument anzeigen“.
Bitte halten Sie die Strg-Taste gedrückt. Dies ist eine Anweisung zu diesen neu aufgedeckten 2SP-Cyberangriffen
Hier werden diese 2SP-Cyberangriffe wirklich clever, obwohl ich es hasse, dieses Wort auf Cyberkriminelle zu übertragen. „Um auf die eingebettete URL zuzugreifen, werden Opfer angewiesen, die Strg-Taste gedrückt zu halten und zu klicken“, sagten die Forscher von Perception Point, „eine subtile, aber äußerst effektive Aktion, die darauf ausgelegt ist, E-Mail-Sicherheitsscanner und automatisierte Erkennungstools zu umgehen.“ Durch die Anforderung dieser menschlichen Interaktion hoffen die Angreifer, automatisierte Systeme zu umgehen, die ein solches Verhalten bei einem Angriff nicht erwarten.
Das Opfer wird nun auf eine weitere gefälschte Seite weitergeleitet, dieses Mal auf eine, die in jeder Hinsicht wie eine Microsoft 365-Portal-Anmeldeseite aussieht, die natürlich darauf ausgelegt ist, Benutzeranmeldeinformationen zu stehlen. Im Perception Point-Bericht wird dieser Schritt nicht erwähnt, einschließlich a Kompromittierung von Sitzungscookies Dies bedeutet, dass eine Möglichkeit, den Erfolg zu verhindern, darin besteht, eine robuste Zwei-Faktor-Authentifizierung für das Konto einzurichten, auf das solche Cyberangriffe abzielen.
Skalierbare Vektorgrafiken werden bei neuen Cyber-Angriffen eingesetzt – so geht's
Einem neuen Bericht von Lawrence Abrams, dem Chefredakteur von Bleeping Computer, zufolge nutzen Bedrohungsakteure zunehmend eine weitere clevere Taktik, nämlich die Verwendung skalierbarer Vektorgrafiken als Anhänge bei der Durchführung von Phishing-Cyberangriffen. Diese Technik dient dazu, dem Opfer entweder bösartige Formen anzuzeigen oder Malware direkt einzusetzen, wobei beides der Erkennung durch Sicherheitssoftware entgeht. Die Taktik beruht auf der Tatsache, dass skalierbare Vektorgrafiken im Gegensatz zu pixelkonstruierten Bildern mithilfe einer mathematischen Formel erstellt werden, die angibt, wie Linien, Formen und Text auf dem Bildschirm angezeigt werden sollen. Der Sicherheitsforscher MalwareHunterTeam sagte gegenüber Bleeping Computer wie Bedrohungsakteure die Tatsache ausnutzen, dass SVG-Anhänge HTML anzeigen und JavaScript ausführen können, wenn das Bild selbst geladen wird. Der Clou daran ist, dass diese zur Erstellung von Formularen zum Diebstahl von Anmeldeinformationen verwendet werden. Abrams demonstrierte, wie eine solche Technik eine Excel-Tabelle anzeigen könnte, die ein eingebettetes Anmeldeformular enthält, um Anmeldeinformationen an den Bedrohungsakteur zu senden, der die Cyberangriffe ausführt. Es wurde jedoch festgestellt, dass andere Cyberangriffe in den SVG-Anhängen eingebettetes JavaScript verwenden, um Browser beim Öffnen des Bildes selbst auf Websites umzuleiten, die von den Bedrohungsakteuren gehostet werden.
Eindämmung von Cyber-Angriffen auf SVG-Anhänge
„Das Problem besteht darin, dass es sich bei diesen Dateien meist nur um Textdarstellungen von Bildern handelt“, sagte Abrams, „sie von Sicherheitssoftware nicht so oft erkannt werden.“ Das bedeutet, dass die letzte Verteidigungslinie dieselbe ist wie die erste: Sie, der Mensch. Fragen Sie sich, warum Sie überhaupt einen Anhang im skalierbaren Vektorgrafikformat erhalten, wenn diese in Ihrem Arbeitsablauf nicht alltäglich sind. Wenn Sie ein Entwickler oder jemand anderes sind, der es gewohnt ist, SVG-Anhänge zu sehen, dann fragen Sie sich, wer sie sendet und ob dies für sie normales Verhalten ist. Behandeln Sie alle E-Mails, die einen SVG-Anhang enthalten, als verdächtig. Auf diese Weise können Sie sich und Ihr Unternehmen davor bewahren, Opfer dieser Phishing-Cyberangriffe zu werden.
