proofpoint und amazon entfernen Betrüger-Webseiten

Erneut versuchen Cyber-Kriminelle „DocuSign“-Nachrichten zu imitieren

[datensicherheit.de, 08.08.2019] Laut einer Meldung von proofpoint versuchen Cyber-Kriminelle erneut „DocuSign“-Nachrichten zu imitieren, um Anwendern ihre Anmeldedaten, beispielsweise für ihr „Office-365“-Account, zu stehlen: „Zu diesem Zweck haben die Betrüger dementsprechend präparierte Landingpages auf kommerziellen Cloud-Diensten wie ,Amazon S3‘ (Simple Storage Service) gehostet, die ihren originalen Pendants zum Verwechseln ähnlichsehen.“

Nutzung professioneller Cloud-Angebote laut proofpoint ungewöhnlich

proofpoint hat jetzt diese Bedrohung nach eigenen Angaben im Rahmen seiner Analysen der aktuellen Bedrohungslage herausgefunden. „Auch wenn in der Vergangenheit bereits andere Plattformen, wie der ,GitHub‘-Dienst oder der ,Azure-Blob‘-Speicher von Microsoft, missbraucht wurden, so ist die Nutzung dieser professionellen Cloud-Angebote dennoch ungewöhnlich.“

proofpoint warnt: Entdeckung und Nachverfolgbarkeit sollen verhindert werden

Die Cyber-Kriminellen setzten dabei sehr effiziente Verschlüsselungsmechanismen wie „XOR“ ein, um einer möglichen Entdeckung durch den Cloud-Provider zu umgehen und die Nachverfolgbarkeit ihrer Aktivitäten möglichst schwierig zu gestalten. proofpoint und amazon hätten bei dieser aktuellen Bedrohung jedoch sehr eng zusammengearbeitet, so dass alle im Rahmen der Attacke bekanntgewordenen, auf „AWS-S3“-Instanzen gehosteten Webseiten vom Netz genommen worden seien.

Weitere Informationen zum Thema:

proofpoint, 08.08.2019
Phishing Actor Using XOR Obfuscation Graduates to Enterprise Cloud Storage on AWS

datensicherheit.de, 19.07.2019
FaceApp: Hype lockt Betrüger an

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle