Die Bedrohungsakteure, die hinter einer groß angelegten Adversary-in-the-Middle (AiTM)-Phishing-Kampagne stecken, die auf Unternehmensnutzer von Microsoft-E-Mail-Diensten abzielt, haben auch Google Workspace-Nutzer ins Visier genommen.
„Diese Kampagne zielte speziell auf Geschäftsführer und andere hochrangige Mitglieder verschiedener Organisationen ab, die [Google Workspace] nutzen“, schreiben die Zscaler-Forscher Sudeep Singh und Jagadeeswar Ramanukolanu in einem diesen Monat veröffentlichten Bericht.
Die AiTM-Phishing-Angriffe sollen Mitte Juli 2022 begonnen haben. Sie folgten einem ähnlichen Modus Operandi wie eine Social-Engineering-Kampagne, die darauf abzielte, die Microsoft-Anmeldedaten der Nutzer abzuschöpfen und sogar die Multi-Faktor-Authentifizierung zu umgehen.
Bei der AiTM-Phishing-Kampagne von Gmail, die nur in geringem Umfang durchgeführt wird, werden auch die kompromittierten E-Mails von Führungskräften verwendet, um weitere Social-Engineering-Maßnahmen durchzuführen. Die Angriffe nutzen auch mehrere kompromittierte Domains als Zwischen-URL-Weiterleitung, um die Opfer auf die endgültige Zielseite zu bringen.
Die Angriffsketten beinhalten das Versenden von E-Mails mit abgelaufenen Passwörtern an potenzielle Ziele, die einen eingebetteten bösartigen Link enthalten, um angeblich „deinen Zugang zu verlängern“, der den Empfänger dazu bringt, Umleitungsseiten von Google Ads und Snapchat zu öffnen, um die URL der Phishing-Seite zu laden.
Neben dem Missbrauch offener Weiterleitungen stützt sich eine zweite Variante der Angriffe auf infizierte Websites, die eine Base64-verschlüsselte Version des Weiterleiters der nächsten Stufe und die E-Mail-Adresse des Opfers in der URL enthalten. Dieser Zwischen-Redirector ist ein JavaScript-Code, der auf eine Gmail-Phishing-Seite verweist.
In einem von Zscaler aufgezeigten Fall wurde die Umleitungsseite, die beim Microsoft AiTM-Phishing-Angriff am 11. Juli 2022 verwendet wurde, aktualisiert, um den Nutzer am 16. Juli 2022 auf eine Gmail AiTM-Phishing-Seite zu leiten.
„Es gab auch Überschneidungen bei der Infrastruktur, und wir haben sogar mehrere Fälle identifiziert, in denen der Bedrohungsakteur von Microsoft AiTM-Phishing zu Gmail-Phishing wechselte und dabei dieselbe Infrastruktur nutzte“, so die Forscher.
Die Ergebnisse sind ein Hinweis darauf, dass eine Multi-Faktor-Authentifizierung allein keinen Schutz gegen fortgeschrittene Phishing-Angriffe bietet. Deshalb müssen die Nutzer/innen URLs genau prüfen, bevor sie ihre Zugangsdaten eingeben, und dürfen keine Anhänge öffnen oder auf Links in E-Mails klicken, die von nicht vertrauenswürdigen oder unbekannten Quellen stammen.
Update: Nach der Veröffentlichung des Artikels teilte Google The Hacker News mit, dass Gmail über einen „mehrschichtigen Phishing-Schutz“ verfügt, um Nutzer/innen vor dieser Art von Angriffen zu schützen. „Der Schutz berücksichtigt viele Signale, selbst wenn die Phishing-Links in der Nachricht versuchen, ihr Ziel zu verschleiern (Reputation des Absenders, gefälschte Logos in der Nachricht, Absender-Empfänger-Affinität und Hunderte von anderen)“, so das Unternehmen.
Neben der Verwendung von Hardware-Sicherheitsschlüsseln für die Multi-Faktor-Authentifizierung, um AiTM-Angriffe zu verhindern, ist der Tech-Gigant mit seinem Safe Browsing Service in der Lage, alle noch aktiven Phishing-Domains als böswillig zu erkennen und so die Navigation zu den betrügerischen Anmeldeseiten im Browser zu blockieren.