Warnung von Zscaler: Missbrauch von Domains für Angriffe

Große Phishing-Kampagnen hinter gefälschten Webseiten enttarnt

[datensicherheit.de, 01.08.2019] Zscaler hat nach eigenen Angaben „große Phishing-Kampagnen hinter gefälschten Webseiten“ enttarnt. Bekannte Domains wie „Outlook“ und „OneDrive“ seien betroffen. Das „ThreatLabZ-Team“ bei Zscaler warnt aktuell vor verschiedenen Phishing-Angriffen mit „Microsoft Azure Custom“-Domains. Diese Webseiten seien mit einem Microsoft-SSL-Zertifikat signiert, um legitim zu erscheinen. Insgesamt seien 2.000 Phishing-Versuche innerhalb von sechs Wochen nachgewiesen worden. Zwei der Angriffs-Vektoren habe das Research-Team genauer untersucht.

Spam-Emails: SSL-Zertifikat von Microsoft missbraucht und eingefügt

Im ersten Beispiel hätten die Angreifer eine Spam-E-Mail an einen Anwender geschickt, „die vorgibt, von einem bestimmten Unternehmen zu stammen“. Sie informiert demnach den Benutzer, dass angeblich bereits sieben E-Mails von diesem Unternehmer geschickt worden seien, welche jedoch unter Quarantäne gefallen seien. Zur Überprüfung der E-Mails werde dem Benutzer empfohlen, sich mit seinem Firmen-Account anzumelden. „Klickt das Opfer auf die Schaltfläche ‚E-Mails anzeigen‘, wird es auf eine Outlook-Login-Phishing-Seite weitergeleitet.“
Für den Fall, dass die Anwender aufgrund der unbekannten URL an der Echtheit der Seite zweifeln, hätten die Angreifer ein SSL-Zertifikat von Microsoft missbraucht und eingefügt. Lässt sich der Benutzer davon täuschen und gibt seine Daten in das Formular ein, „fließen sie zur gefälschten Domain ab, die von den Kriminellen betrieben wird“.

Wie Sprachnachricht aussehender Infizierter HTML-E-Mail-Anhang

Im zweiten Beispiel hätten die Angreifer die Spam-E-Mail mit einer angehängten, wie eine Sprachnachricht aussehenden HTML-Datei verschickt. Sobald der Benutzer auf die HTML-Datei klickt, werde er auf die über die „Azure“-Domain abgebildete Phishing-Seite weitergeleitet. Bei dieser Vorgehensweise injizierten die Angreifer ein verschleiertes „JavaScript“, um die in ihrer Datenbank vorhandenen Anmeldedaten abzugleichen und unnötige Arbeit zu vermeiden. Ein versteckter Code überprüfe dabei die Zugangsdaten des Benutzers und sende sie an den Server des Angreifers.
Zusätzlich zu den „Outlook“-Phishing-Kampagnen seien weitere im Zusammenhang mit folgenden „Azure“-Domains entdeckt worden: Microsoft Phishing, OneDrive Phishing, Adobe Document Phishing und Blockchain Phishing. Zscaler habe Microsoft informiert, weswegen diese Webseiten zwischenzeitlich vom Netz genommen worden seien.
Plattform-Sicherheit gegen Cloud-Phishing

Sicherheitslösungen mit „Sandbox“-Funktionen empfohlen

Phishing-Angriffe häuften sich in den letzten Monaten. Vor allem über „Social Media“-Plattformen wie „LinkedIn“ würden viele vergleichbare Attacken gestartet. Die benannten Beispiele belegten darüber hinaus eine Zunahme von Phishing-Attacken gegen Cloud-Plattformen und ihre Domains. Das Zusammenspiel zwischen der IT-Sicherheit einer Cloud und der IT-Sicherheit von Unternehmen müsse daher reibungslos ablaufen.
Aus diesem Grund benötigten Unternehmen moderne Schutzmechanismen, „die gezielt ihre Plattformen abschirmen“. Solche Sicherheitslösungen sollten „Sandbox“-Funktionen beinhalten, um verdächtige Anhänge und Links filtern, isoliert untersuchen und abwehren zu können. Derartiger Plattform-Schutz des Herstellers oder Anbieters ergänze sehr wirkungsvoll den Sicherheits-Apparat der Unternehmen, die ihre Daten und Anwendungen auf die Cloud-Plattform setzen.

Weitere Informationen zum Thema:

zscaler, Gayathri Anbalagan, 16.07.2019
Abusing Microsoft’s Azure domains to host phishing attacks

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 26.06.2019
Zscaler: Warum Office 365 für Stau im Netzwerk sorgen kann