Verschlüsselung & Datensicherheit

Die Phishing-Kampagne Heatstroke

Die Phishing-Kampagne Heatstroke
Forscher von Trend Micro haben eine ausgefeilte Phishing-Kampagne untersucht.

Eine neuartige Phishing-Kampagne wurde kürzlich von Threat Researchern von Trend Micro analysiert. Die Kampagne zeigt, wie weit sich die Phishing-Techniken entwickelt haben.Vom einfachen Nachahmen legitimer Websites und der Verwendung verschiedener Social Engineering Taktiken bis zu sehr ausgeklügelten Methoden wie der Einsatz von Steganographie.

Angreifer haben Gmail-Konten im Blick

Die Hintermänner bedienen sich privater E-Mail Adressen, die sie höchstwahrscheinlich aus der eigenen Adressliste des Opfers sammeln, zu der auch solche von Managern und Mitarbeitern aus der Technologiebranche gehören. Private Mail-Adressen werden eher auf kostenlosen E-Mail-Diensten mit laxer Sicherheit und Spam-Filterung gehostet. Sie werden auch normalerweise als Verifizierung für Social Media- und E-Commerce-Websites sowie als Backups für Gmail- und Geschäftskonten verwendet.

Besonders interessant sind Gmail-Konten. Angreifer, die Zugang zu diesen Konten erhalten, können auch auf das Google-Laufwerk des Opfers zugreifen und unter bestimmten Umständen das mit dem Konto verbundene Android-Gerät infizieren. Diese kostenlosen Mail-Konten sind somit bessere Ausgangspunkte für Angreifer, um ihre Ziele zu erkunden und Informationen zu sammeln, als Geschäfts-Mails, die in der Regel sicherer sind.

Die Heatstroke Tarnungsmaßnahmen:

Mehrstufiger Phishing-Angriff. Um keinen Verdacht zu erregen, nehmen sich die Angreifer Zeit und verteilen ihren Angriff nicht auf mehrere Bildschirme/Seiten. Im Vergleich zu einem gewöhnlichen Phishing-Angriff, bei dem eine einzige Zielseite verwendet wird, versucht der mehrstufige Ansatz von Heatstroke nachzuahmen, was eine legitime Website tun würde, um das potenzielle Opfer in  Sicherheit zu wiegen, dass alles gut läuft.

Verwischte Spuren. Der Inhalt des Phishing-Kits wird von einem anderen Ort weitergeleitet, aber maskiert, um den Eindruck zu erwecken, er wäre er auf der Landing Page selbst. Die Landing Page wechselt auch ständig, um Inhaltsfilter zu umgehen. Das Phishing-Kit kann auch bestimmte IP-Bereiche, Crawling-Dienste und sogar Sicherheitstools wie Schwachstellenscanner blockieren. Wenn ein Benutzer versucht, sich von einem Ort, Browser, einer IP-Adresse oder einem Land aus zu verbinden, das von den Angreifern auf die Blacklist gesetzt wurde, zeigt die Seite den Inhalt nicht an (dient einem HTTP-404-Fehler) oder der Inhalt wird von einem anderen Ort weitergeleitet. Die erste Seite des Phishing-Kits wird durch ein in Base64 kodiertes PHP-Skript generiert, um Firewalls zu vermeiden oder zu umgehen.

Phishing as a Service. Die Forscher fanden eine andere Gruppe, die das Kit für ihre eigenen Angriffe kaufte. Der Entwickler des Kits wies sogar seinen eigenen API-Schlüssel der Gruppe zu.

Versuche, legitim zu erscheinen. Der Phishing-Angriff wird von der Domain aus gesendet, basierend auf dem Herkunftsland des Opfers. In einigen der analysierten Fälle gehörte die für den Angriff verwendete Domain zu einem legitimen Unternehmen, das später zum Verkauf angeboten wurde.

Bilder als Datenversteck

Wie es weiter dazu heißt, werden die gestohlenen Zugangsdaten unter Verwendung von Steganographie (Verstecken oder Einbetten von Daten in ein Bild) an eine Mail-Adresse gesendet. Im Laufe der Recherchen konnten die Sicherheitsforscher zwei ähnliche Phishing-Kits analysieren – eines für Amazon-Nutzer und das andere für den Diebstahl von PayPal-Anmeldeinformationen. Die vorliegende Analyse bezieht sich auf letzteres, da dort die meisten seiner Komponenten erfasst werden konnten.

Die Taktiken und Techniken der beiden Kits waren ähnlich, von der Website, auf der sich das Phishing-Kit befand, über die Art der Informationen, die sie stahlen, bis hin zu den verwendeten Maskierungstechniken. Beide Kits enden scheinen auch in der gleichen Phase der Benutzerüberprüfung. Diese Ähnlichkeiten könnten bedeuten, dass sie den gleichen Ursprung haben. Die Ähnlichkeit könnte auch durch den Zeitpunkt und das Ausmaß der Angriffe, die diese Kits verwendeten, verstärkt werden, da sie an dasselbe Opfer geliefert wurden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben