Office 365 Phishing-Kampagne aufgedeckt

Eine neue Office 365 Phishing-Kampagne attackiert die Server von Samsung, Adobe und der Universität Oxford.

Microsoft Office 365 gerät immer mehr ins Visier von Cyberkriminellen, berichten die Sicherheitsexperten von Check Point. Phishing-Kampagnen beginnen gezielte Angriffe auf die Microsoft-Plattform.

Kürzlich erregte eine scheinbar unspektakuläre Phishing-Kampagne für Office 365 die Aufmerksamkeit von Check Point. Die Angreifer missbrauchten einen Umleitungsmechanismus des Email-Marketing-Campaign Servers von Adobe. Dann manipulierten sie eine Samsung-Domäne, um die Opfer auf eine Phishing-Website mit dem Thema Office 365. Die Hacker nutzten die Tatsache aus, dass der Zugriff auf eine seriöse Domain, wie die von Samsung, nicht durch Sicherheitssoftware blockiert wird.

Um ihre Kampagne auszuweiten, kompromittierten die Angreifer auch mehrere Websites, um ein Skript einzuschleusen, das den gleichen Mechanismus imitiert, der vom Adobe-Umleitungsdienst angeboten wird. Weitere Untersuchungen ergaben, dass die Akteure hinter der Kampagne noch einige andere interessante Tricks einsetzten, um das Phishing-Kit zu verstecken und eine Entdeckung in jeder Phase des Angriffs zu vermeiden.

Es ist ein wichtiger Hinweis, dass weder Adobe noch Samsung durch die Ausnutzung einer Schwachstelle kompromittiert wurden. Der Adobe Campaign-Server von Samsung sollte Services übernehmen, die nicht unbedingt Teil der Marketing-Bemühungen des Unternehmens waren.

Ein Umleitungsmechanismus leitet Benutzer zu einem Ziel um, das in der URL angegeben ist, auf die sie gerade geklickt haben. Auf diese Weise können Kampagnenmanager beispielsweise die laufenden Werbeanstrengungen messen und überwachen, indem sie jeden erfolgreichen Besuch protokollieren, bevor sie den Benutzer auf eine Anzeigenseite weiterleiten.

Anfang April 2020 entdeckte Check Point eine Phishing-Kampagne, die ihren Opfern „verpasste Sprachnachrichten“ per E-Mail zustellte. Ungefähr 43% dieser Angriffe richteten sich gegen europäische Unternehmen, während der Rest in Asien und im Nahen Osten beobachtet wurde. Die E-Mails forderten die Benutzer auf, auf eine Schaltfläche zu klicken, die sie angeblich zu ihrem Office 365-Konto führen würde.

Diese E-Mails verwenden einige sehr einfache Anpassungen, wie z.B. eine Betreffzeile mit dem Ziel-Domain-Namen und dem Benutzernamen, die im Hauptteil der E-Mail enthalten sind. Trotz der Benachrichtigung „Nachricht vom vertrauenswürdigen Server“ am Anfang hätte ein wachsamer Benutzer einige Ungenauigkeiten bemerkt.

Nachdem die Opfer auf die Schaltfläche geklickt hatten, wurden sie zu einer Phishing-Seite umgeleitet, die sich als Anmeldeseite von Office 365 ausgab. Hinter den Kulissen besteht diese Umleitung aus zwei Stufen: In der ersten Stufe wurde ein bestehendes Umleitungsschema auf der legitimen Domäne missbraucht (z. B. samsung[.]ca), und in der zweiten Stufe wurde der Benutzer auf eine kompromittierte WordPress-Seite umgeleitet.

Die meisten der E-Mails stammten von mehreren generierten Adressen, die zu legitimen Subdomains von verschiedenen Abteilungen der Universität Oxford (UK) gehörten. Die E-Mail-Header zeigten, dass die Angreifer einen Weg gefunden hatten, einen der SMTP-Server der Universität Oxford zu missbrauchen. Die E-Mail stammte von der NordVPN-IP-Adresse 194.35.233.10 und wurde dann an den Oxford-SMTP-Server und den Oxford-Relay-Server weitergeleitet.

Die Verwendung legitimer Oxford-SMTP-Server ermöglichte es den Angreifern, die Reputationsprüfung für die Absenderdomäne zu bestehen. Darüber hinaus war es nicht notwendig, tatsächliche E-Mail-Konten zu kompromittieren, um Phishing-E-Mails zu versenden, da sie so viele E-Mail-Adressen generieren konnten, wie sie wollten.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

 

Themenseiten: Adobe, Check Point, Microsoft, Office 365, Phishing, Samsung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Office 365 Phishing-Kampagne aufgedeckt

Kommentar hinzufügen
  • Am 28. Juni 2020 um 0:03 von Norbert

    Phishing ist ein sehr ernstes Problem in unserer Gesellschaft.
    Nur wer weiß, wie wie Phishing funktioniert, kann sich davor schützen.
    Hier gibt es einen Leitfaden hierzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *