Cybersicherheitsforscher warnen vor anhaltenden Phishing-Kampagnen, die Aktualisierungseinträge in HTTP-Headern missbrauchen, um gefälschte E-Mail-Anmeldeseiten bereitzustellen, die darauf ausgelegt sind, die Anmeldeinformationen von Benutzern abzugreifen.
„Im Gegensatz zu anderen Phishing-Webseiten, die über HTML-Inhalte verbreitet werden, nutzen diese Angriffe den von einem Server gesendeten Antwortheader, der vor der Verarbeitung des HTML-Inhalts erfolgt“, so die Forscher Yu Zhang, Zeyu You und Wei Wang von Palo Alto Networks Unit 42.
„Bösartige Links weisen den Browser an, eine Webseite sofort automatisch zu aktualisieren oder neu zu laden, ohne dass eine Benutzerinteraktion erforderlich ist.“
Zu den Zielen der zwischen Mai und Juli 2024 beobachteten groß angelegten Aktivitäten gehören große Unternehmen in Südkorea sowie Regierungsbehörden und Schulen in den USA. Bis zu 2.000 bösartige URLs wurden mit den Kampagnen in Verbindung gebracht.
Über 36 % der Angriffe richteten sich gegen den Wirtschaftssektor, gefolgt von Finanzdienstleistungen (12,9 %), Behörden (6,9 %), Gesundheitswesen und Medizin (5,7 %) sowie Computer und Internet (5,4 %).
Die Angriffe sind die neuesten in einer langen Reihe von Taktiken, die von Bedrohungsakteuren eingesetzt werden, um ihre Absichten zu verschleiern und E-Mail-Empfänger dazu zu bringen, sensible Informationen preiszugeben. Dazu gehört auch die Ausnutzung von Trend-Top-Level-Domains (TLDs) und Domainnamen, um Phishing- und Weiterleitungsangriffe zu verbreiten.
Die Infektionsketten zeichnen sich durch die Zustellung bösartiger Links über Header-Refresh-URLs aus, die die E-Mail-Adressen der Zielpersonen enthalten. Der Link, zu dem weitergeleitet werden soll, ist in den Refresh-Antwortheader eingebettet.
Der Ausgangspunkt der Infektionskette ist eine E-Mail-Nachricht, die einen Link enthält, der eine legitime oder kompromittierte Domain imitiert. Wenn dieser angeklickt wird, wird die Weiterleitung auf die vom Akteur kontrollierte Seite zur Erfassung von Anmeldeinformationen ausgelöst.
Um dem Phishing-Versuch einen Anschein von Legitimität zu verleihen, sind die bösartigen Webmail-Anmeldeseiten mit den E-Mail-Adressen der Empfänger vorausgefüllt. Es wurde auch beobachtet, dass Angreifer legitime Domains verwenden, die URL-Verkürzungs-, Tracking- und Kampagnenmarketingdienste anbieten.
„Indem sie legitime Domains sorgfältig imitieren und Opfer auf offizielle Websites umleiten, können Angreifer ihre wahren Ziele effektiv verschleiern und die Wahrscheinlichkeit eines erfolgreichen Anmeldeinformationsdiebstahls erhöhen“, so die Forscher.
„Diese Taktiken verdeutlichen die ausgeklügelten Strategien, mit denen Angreifer die Entdeckung vermeiden und ahnungslose Zielpersonen ausnutzen.“
Phishing und Business E-Mail Compromise (BEC) sind nach wie vor ein wichtiger Weg für Angreifer, um Informationen abzuschöpfen und finanziell motivierte Angriffe durchzuführen.
BEC-Angriffe haben US-amerikanische und internationale Organisationen zwischen Oktober 2013 und Dezember 2023 schätzungsweise 55,49 Milliarden US-Dollar gekostet, wobei im gleichen Zeitraum über 305.000 Betrugsfälle gemeldet wurden, so das US-amerikanische Federal Bureau of Investigation (FBI).
Die Entwicklung erfolgt inmitten von „Dutzenden von Betrugskampagnen“, die seit mindestens Juli 2023 Deepfake-Videos mit Persönlichkeiten des öffentlichen Lebens, CEOs, Nachrichtensprechern und hohen Regierungsbeamten nutzen, um für gefälschte Investitionsprogramme wie Quantum AI zu werben.
Diese Kampagnen werden über Beiträge und Anzeigen auf verschiedenen Social-Media-Plattformen verbreitet und leiten Benutzer auf gefälschte Webseiten weiter, die sie auffordern, ein Formular auszufüllen, um sich anzumelden. Anschließend werden sie von einem Betrüger telefonisch kontaktiert, der sie auffordert, eine Gebühr von 250 US-Dollar zu zahlen, um Zugang zu dem Dienst zu erhalten.
„Der Betrüger weist das Opfer an, eine spezielle App herunterzuladen, damit es mehr von seinem Geld ‚investieren‘ kann“, so die Forscher von Unit 42. „Innerhalb der App scheint ein Dashboard kleine Gewinne anzuzeigen.“
„Wenn das Opfer dann versucht, sein Geld abzuheben, verlangen die Betrüger entweder Abhebungsgebühren oder nennen einen anderen Grund (z. B. Steuerprobleme), warum es sein Geld nicht zurückbekommen kann.
„Die Betrüger können das Opfer dann aus seinem Konto aussperren und das restliche Geld einbehalten, so dass das Opfer den Großteil des Geldes verliert, das es in die ‚Plattform‘ gesteckt hat.““
Es folgt auch die Entdeckung eines heimlichen Bedrohungsakteurs, der sich als legitimes Unternehmen ausgibt und in großem Umfang automatisierte CAPTCHA-Lösungsdienste an andere Cyberkriminelle verkauft und ihnen hilft, in IT-Netzwerke einzudringen.
Greasy Opal, wie Arkose Labs das in der Tschechischen Republik ansässige „Cyberangriffs-Ermöglichungsgeschäft“ nennt, ist vermutlich seit 2009 aktiv und bietet seinen Kunden eine Art Werkzeugkasten für Credential Stuffing, die massenhafte Erstellung gefälschter Konten, Browser-Automatisierung und Social-Media-Spam zu einem Preis von 190 US-Dollar und einer zusätzlichen monatlichen Gebühr von 10 US-Dollar an.
Das Produktportfolio umfasst die gesamte Bandbreite der Cyberkriminalität und ermöglicht es dem Unternehmen, ein ausgeklügeltes Geschäftsmodell zu entwickeln, indem es mehrere Dienste in einem Paket zusammenfasst. Die Einnahmen des Unternehmens sollen sich allein im Jahr 2023 auf nicht weniger als 1,7 Millionen US-Dollar belaufen.
„Greasy Opal setzt modernste OCR-Technologie ein, um textbasierte CAPTCHAs effektiv zu analysieren und zu interpretieren, selbst solche, die durch Rauschen, Drehung oder Verdeckung verzerrt oder verdeckt sind“, so das Unternehmen für Betrugsprävention in einer aktuellen Analyse. „Der Dienst entwickelt Algorithmen für maschinelles Lernen, die mit umfangreichen Datensätzen von Bildern trainiert werden.“
Einer seiner Nutzer ist Storm-1152, eine vietnamesische Cybercrime-Gruppe, die bereits von Microsoft identifiziert wurde, weil sie 750 Millionen betrügerische Microsoft-Konten und -Tools über ein Netzwerk von gefälschten Websites und Social-Media-Seiten an andere Kriminelle verkauft hat.
„Greasy Opal hat ein florierendes Konglomerat aus vielschichtigen Unternehmen aufgebaut, das nicht nur CAPTCHA-Lösungsdienste, sondern auch SEO-Boosting-Software und Social-Media-Automatisierungsdienste anbietet, die häufig für Spam verwendet werden, was ein Vorläufer für die Verbreitung von Malware sein könnte“, so Arkose Labs.
„Diese Bedrohungsakteurgruppe spiegelt einen wachsenden Trend von Unternehmen wider, die in einer Grauzone agieren, während ihre Produkte und Dienste für illegale Aktivitäten im weiteren Verlauf verwendet wurden.“