Mimecast Logo
M365 Threat Scan Angebot einholen

    Benutzer zum Kopieren/Einfügen von Links veranlassen

    12. Februar 2025

    Von Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • Vorwiegend für Unternehmen aus den Bereichen Recht, Einzelhandel und Fertigung in den USA
    • Kampagnen werden über AWS SES verteilt und über einen Python-Mailer versendet
    • Der Hauptzweck ist das Sammeln von Anmeldeinformationen

    Kampagnenablauf

    Kopieren-und-Einfügen-Fluss.jpg

    Um sich der Erkennung durch Sicherheitslösungen zu entziehen, ermutigen die Bedrohungsakteure die Benutzer nun dazu, durch Kopieren und Einfügen aus E-Mails in ihren Browsern mit missgebildeten Links zu interagieren. Die Mimecast-Bedrohungsforscher haben festgestellt, dass diese Köder häufig eine Schaltfläche mit einem defekten Link enthalten, die von folgendem Text begleitet wird: ". Sollte der angegebene Link nicht wie erwartet funktionieren, kopieren Sie bitte den folgenden Link und fügen Sie ihn in die Adressleiste Ihres Browsers ein." Die E-Mail nutzt die übliche Verlockung von Zahlungsdateien, um die Benutzer dazu zu bringen, mit der E-Mail zu interagieren. An der Stelle, an der der Benutzer normalerweise auf die Schaltfläche "Datei anzeigen" klicken würde, wurde diese jedoch absichtlich nicht anklickbar gemacht, so dass der Benutzer auf den Link am Ende der E-Mail klicken muss.

    Kopieren und Einfügen-1.png

    Der Link wird als reiner Text dargestellt, nicht als aktiver Hyperlink (<a href>), so dass er von Sicherheitsfiltern, die nach bösartigen URLs suchen, möglicherweise nicht sofort erkannt wird. Da der Benutzer zum manuellen Kopieren und Einfügen aufgefordert wird, umgeht er die automatischen Link-Analysetools der E-Mail-Sicherheitsplattformen. Die URL enthält vertrauenswürdige Domänen wie sharepoint.com, um einen Hauch von Glaubwürdigkeit zu vermitteln. Es folgt jedoch eine bösartige Domain ohne Bezug: hoteis-em-gramado[.]com.

    Der Link ist in der Regel sehr lang und enthält mehrere Verschleierungen und eine base64-Kodierung, so dass es für den Benutzer schwierig ist, festzustellen, ob er verdächtig ist. Bei der Dekodierung der base64-Datei scheint es zusätzliche Parameter zu geben, die versteckt wurden;

    sv=o365_1_sp&rand=ajk3WHM=&uid=USER27092024U07092722

    sv=o365_1_sp: Bedeutet wahrscheinlich, dass der Dienst oder die Plattform gefälscht wird. Hier scheint es sich um "Office 365 SharePoint" (o365_1_sp) zu handeln.

    rand=ajk3WHM=: Scheint ein zufällig generierter Wert zu sein, möglicherweise um eindeutige URLs für Verfolgungszwecke zu erstellen. Zufällige Zeichenfolgen wie diese können als Sitzungs- oder Tracking-ID für die Angreifer dienen, um das Opfer zu identifizieren.

    uid=USER27092024U070927227: Wahrscheinlich eine Benutzerkennung (uid), die einem bestimmten Ziel in der Phishing-Kampagne entsprechen könnte. Das datumsähnliche Muster (27092024) könnte den Zeitstempel verschlüsseln, wann die E-Mail oder der Phishing-Link erstellt wurde.

    Sobald der Benutzer den Link kopiert und in seinen Browser einfügt, werden die fehlenden "http://"-Daten hinzugefügt, um den Link vollständig zu gestalten, und er wird auf eine Seite zum Sammeln von Anmeldeinformationen umgeleitet, die eine Art von Dateien enthält.

    Kopieren und Einfügen-2.png

    Die Aktivität der Kampagne stieg Ende Oktober deutlich an und setzte sich im November sporadisch fort.

    Kopieren und Einfügen-3.png

    Taktik, Techniken und Verfahren:

    T1204.001 - Benutzer-Ausführung: Bösartiger Link
    T1598.002 - Phishing für Informationen
    T1566.002 - Speer-Phishing-Link
    T1071.001 - Protokoll der Anwendungsschicht: Web-Protokolle (HTTP/HTTPS)
    T1586.002 - Kompromittierung von Konten: E-Mail-Konten
    T1588.006 - Erlangung von Fähigkeiten: Webdienste
    T1027 - Verdeckte Dateien oder Informationen

    Mimecast-Schutz

    Wir haben in den Kampagnen mehrere Attribute identifiziert, die zu unseren Erkennungsfähigkeiten hinzugefügt wurden.

    Zielsetzung:

    US, vorwiegend Rechtswesen, Einzelhandel und Fertigung

    IOCs:

    Themen:

    Zahlungsavis_Have2020 __[MSG-ID-8284766044wzdjjatjmcvlzp]
    Lisa teilte "Payment Detail Report"
    Mitteilung der Finanzabteilung: Kürzliche Zahlungsübertragungen von Lieferanten
    Abrechnungsbestätigung am 23/10/24

    URLs:

    hoteis-em-gramado[.]com

    Empfehlungen

    • Vergewissern Sie sich, dass eine URL Protect Richtlinie zum Schutz des Unternehmens festgelegt wurde.
    • Durchsuchen Sie Ihre URL Protect Protokolle, um festzustellen, ob einer der missbrauchten Dienste von Ihren Benutzern genutzt wurde.
    • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob ein passender Betreff an Ihre Benutzer zugestellt wurde.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    Zurück zum Anfang