Der US-amerikanische Anbieter von Cyber-Sicherheitslösungen Fortra hat Erkenntnisse seiner Sicherheitssparte öffentlich gemacht. Die Fortra-Sicherheitsexperten haben sich mit im Darknet kursierenden Angeboten von Malware-Paketen beschäftigt, die Phishing-as-a-Service (PaaS) offerieren. Die unter dem Namen „Strox“ bekannt gewordenen Anbieter dieser kriminellen „Services“ bieten auf ihrer Plattform fertig ausgearbeitete und „benutzerfreundlich“ gestaltete Phishing-Kits für diverse Marken an sowie eine Funktion, Kampagnen durch Bearbeitung der Logos, Bilder und Texte auf eine beliebige weitere Marke umzumodeln. Cyber-Kriminelle, die sich für den „Service“ interessieren, können auf der Plattform von „Strox“ Demo-Phishing-Seiten durchklicken. Bei allen dort verfügbaren Phishing-Kits können die kriminellen Kunden auswählen, welche Seiten aktiv sein sollen, wenn sie ihren Angriff live schalten, und die Sprache der Phishing-Inhalte automatisch an die vom jeweiligen Opfer im Browser ausgewählte Sprache anpassen lassen – ein Feature, das für über 230 Sprachen verfügbar sein soll. Nicht nur in dieser Hinsicht sind die Kits hochgradig automatisiert: Die Benutzer können auch problemlos mehrere Phishing-Kampagnen gleichzeitig durchführen.
Den Sicherheitsexperten zufolge sind die kriminellen Akteure hinter der Malware seit Juni 2021 aktiv. Zunächst waren auf der Plattform von „Strox“ Betrugsseiten angeboten worden, die auf US-amerikanische Finanzinstitute ausgerichtet waren. Seit Benutzer die Phishing-Kits ganz einfach auf ihre Bedürfnisse – die von ihnen anvisierte Marke und Kampagnenform – zuschneiden können, ist das Angebot in den letzten zwei Jahren zu einem der beliebtesten Phishing-Services avanciert. Für rund 90 US-Dollar eumfassen die im Darknet erhältlichen Phishing-Kits unter anderem auch einen personalisierten API-Schlüssel, sodass der jeweiligen Käufer Seiteninhalte aktualisieren und die integrierte Antibot-Malware auf dem neuesten Stand halten kann. Die betrügerischen Kits bieten ein Admin-Panel, mit dem aktive Angriffe in Echtzeit überwacht und modifiziert werden können. Protokollfunktionen bietet einen Live-Überblick zur Anzahl der Personen, die sich in dem Moment Phishing-Inhalte auf den Betrugsseiten ansehen und zu den Aktionen, die gerade durchgeführt werden, – eine Funktion, die auch bei sogenannten Man-in-the-Middle-Angriffen genutzt wird, um Zwei-Faktor-Authentifizierungscodes zu bespielen und zusätzliche Sicherheitsüberprüfungen zu umgehen. Hat der Phishing-Akteur selbst keine Zeit hat, um den Fortschritt der Angriffe zu überwachen, kann er seine Phishing-Angriffe pausieren und minimiert so das Risiko, dass Seiten entdeckt werden, während er abwesend ist.
Die Phishing-Kits von „Strox“ sind „ein weiteres Beispiel für immer professionellere und komplexere Phishing Angebote im Dark web“, kommentiert Martin Krämer, Security Awareness Advocate beim Cyber-Security-Schulungsanbieter KnowBe4, die aktuellen Erkenntnisse. „Gerade die genannten Angriffe auf zwei Faktor Authentifizierung sind derzeit auf einem neuen Hoch. So hat KnowBe4 selbst einen Anstieg im zweistelligen Prozentbereich für QR-Code basierte Angriffe auf Multi-Faktor-Authentifizierung seit September beobachten können. Angreifer passen ihre Vorgehensweisen immer wieder den neuen Verteidigungsmechanismen der Organisationen an“, warnt Krämer, „sodass alle technischen Schutzmaßnahmen ausgehebelt werden.“
