Mimecast Logo
M365 Threat Scan Get a Quote

    Trustpilot-URL-Weiterleitungsmissbrauch


    Jul. 23, 2024

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • Missbrauch der Trustpilot- und SendGrid-Infrastruktur
    • Vorwiegend in der Branche der freiberuflichen, wissenschaftlichen oder technischen Dienstleistungen angesiedelt
    • Der Hauptzweck bestand darin, Anmeldedaten von Empfängern zu stehlen, die am ehesten zu Gewinnzwecken verkauft werden sollten.
    Wichtige Punkte

    • Missbrauch der Trustpilot- und SendGrid-Infrastruktur
    • Vorwiegend in der Branche der freiberuflichen, wissenschaftlichen oder technischen Dienstleistungen angesiedelt
    • Der Hauptzweck bestand darin, Anmeldedaten von Empfängern zu stehlen, die am ehesten zu Gewinnzwecken verkauft werden sollten.
       

    Am 17. Juni 2024 beobachteten die Bedrohungsforscher von Mimecast eine neuartige URL-Redirect-Phishing-Kampagne, die Trustpilot nutzt. Die Kampagne begann abrupt am 17. Juni, wobei Untersuchungen ergaben, dass dies auf Trustpilot-URLs zurückzuführen war, die von Sendgrid generiert wurden. Nach der Überprüfung wurde festgestellt, dass es sich offenbar um ein kurzzeitiges Massenereignis handelte, das darauf abzielte, die betroffenen Benutzer auf eine Phishing-Seite zum Sammeln von Zugangsdaten umzuleiten. Das nachstehende Schaubild zeigt die Aktivitäten im Zusammenhang mit dieser Kampagne.

    Trustpilot URL-Weiterleitung Abuse-image-1.webp

    Vor der aktiven Nutzung wurde die Technik zusammen mit anderen Styling- und Verteilungsmerkmalen offenbar gründlich mit kompromittierten Benutzerkonten getestet, um die Zustellbarkeit sicherzustellen. Zwischen den Kampagnenspitzen wurden weitere Tests und Validierungen durchgeführt, um die erfolgreiche Bereitstellung aufrechtzuerhalten. Die Phishing-E-Mails wurden hauptsächlich über kompromittierte Microsoft 365 und den E-Mail-Dienstleister KDDI versendet. Nachstehend finden Sie eine Aufschlüsselung der genutzten E-Mail-Dienstleister.

    Trustpilot URL Weiterleitung Missbrauch-Bild-2.webp

    Zielvorgaben:

    Überwiegend auf die USA konzentriert, mehrere Sektoren, aber wichtig für professionelle, wissenschaftliche und technische Dienstleistungen 

    IOCs:

    Trustpilot leitet weiter:

    • hxxps://link.trustpilot.com/ls/click?upn=u001.7TXFvnJF4GMbcQqVAhZRa8-
      2FKsqcJJrXM5PriJjesPuYjvEDhc4u61YqxKeokTY4adTcM_r0aPuFam2OijKUCcDq4d
      NJZTUPWa70WxFXUt4Msr1TPSXE1rqhpUHZ9AfnLVE6EA5EXtoQpyf-2FfWDBC
      1bYEh6lTSdqycNmiUr9TST70VnC6S62SKSCraCoxe-2FU3kuJmXhYEm3koA34a-2BKr8dbNto67EZttUffEOZA127cGFwkK7I-2BydN9Q8sxLLQwLmx3MnDCb8PeVy
      5rZSTzAzzTz901Q-3D-3D

    Klicken Sie hier, um die vollständige Liste der Trustpilot-Weiterleitungen aufzurufen

    Hosts umleiten:

    • info.ubergeek[.]tv
    • phyditis[.]ru

    Klicken Sie hier, um die vollständige Liste der Redirect Hosts aufzurufen

    TTPs:

    • T1586.002 - Kompromittierte Konten: E-Mail-Konten
    • T1566.002 - Phishing: Spearphishing-Link
    • T1583.006 - Erwerben Sie Infrastruktur: Webdienste
    • T1608.005 - Bühnenfähigkeiten: Link Ziel

    Artikel zu Bedrohungsdaten erkunden

    18BLOG_1.jpg
    Bedrohungsanalyse Blog
    Neue Mimecast-Bedrohungsdaten: Wie ChatGPT E-Mail umkrempelt
    Okt. 18, 2024
    24BLOG_1.jpg
    Bedrohungsanalyse Blog
    Threat Intelligence war noch nie so wichtig wie heute
    Okt. 18, 2024
    44BLOG_1.jpg
    Bedrohungsanalyse Blog
    Angreifer verlagern ihre Verbreitungsmethoden weiter
    Juni 03, 2024
    Zurück zum Anfang