Office 365 Phishing-Kampagne aufgedeckt

Microsoft Office 365 gerät immer mehr ins Visier von Cyberkriminellen, berichten die Sicherheitsexperten von Check Point. Phishing-Kampagnen beginnen gezielte Angriffe auf die Microsoft-Plattform.

Kürzlich erregte eine scheinbar unspektakuläre Phishing-Kampagne für Office 365 die Aufmerksamkeit von Check Point. Die Angreifer missbrauchten einen Umleitungsmechanismus des Email-Marketing-Campaign Servers von Adobe. Dann manipulierten sie eine Samsung-Domäne, um die Opfer auf eine Phishing-Website mit dem Thema Office 365. Die Hacker nutzten die Tatsache aus, dass der Zugriff auf eine seriöse Domain, wie die von Samsung, nicht durch Sicherheitssoftware blockiert wird.

Um ihre Kampagne auszuweiten, kompromittierten die Angreifer auch mehrere Websites, um ein Skript einzuschleusen, das den gleichen Mechanismus imitiert, der vom Adobe-Umleitungsdienst angeboten wird. Weitere Untersuchungen ergaben, dass die Akteure hinter der Kampagne noch einige andere interessante Tricks einsetzten, um das Phishing-Kit zu verstecken und eine Entdeckung in jeder Phase des Angriffs zu vermeiden.

Es ist ein wichtiger Hinweis, dass weder Adobe noch Samsung durch die Ausnutzung einer Schwachstelle kompromittiert wurden. Der Adobe Campaign-Server von Samsung sollte Services übernehmen, die nicht unbedingt Teil der Marketing-Bemühungen des Unternehmens waren.

Ein Umleitungsmechanismus leitet Benutzer zu einem Ziel um, das in der URL angegeben ist, auf die sie gerade geklickt haben. Auf diese Weise können Kampagnenmanager beispielsweise die laufenden Werbeanstrengungen messen und überwachen, indem sie jeden erfolgreichen Besuch protokollieren, bevor sie den Benutzer auf eine Anzeigenseite weiterleiten.

Anfang April 2020 entdeckte Check Point eine Phishing-Kampagne, die ihren Opfern „verpasste Sprachnachrichten“ per E-Mail zustellte. Ungefähr 43% dieser Angriffe richteten sich gegen europäische Unternehmen, während der Rest in Asien und im Nahen Osten beobachtet wurde. Die E-Mails forderten die Benutzer auf, auf eine Schaltfläche zu klicken, die sie angeblich zu ihrem Office 365-Konto führen würde.

Diese E-Mails verwenden einige sehr einfache Anpassungen, wie z.B. eine Betreffzeile mit dem Ziel-Domain-Namen und dem Benutzernamen, die im Hauptteil der E-Mail enthalten sind. Trotz der Benachrichtigung „Nachricht vom vertrauenswürdigen Server“ am Anfang hätte ein wachsamer Benutzer einige Ungenauigkeiten bemerkt.

Nachdem die Opfer auf die Schaltfläche geklickt hatten, wurden sie zu einer Phishing-Seite umgeleitet, die sich als Anmeldeseite von Office 365 ausgab. Hinter den Kulissen besteht diese Umleitung aus zwei Stufen: In der ersten Stufe wurde ein bestehendes Umleitungsschema auf der legitimen Domäne missbraucht (z. B. samsung[.]ca), und in der zweiten Stufe wurde der Benutzer auf eine kompromittierte WordPress-Seite umgeleitet.

Die meisten der E-Mails stammten von mehreren generierten Adressen, die zu legitimen Subdomains von verschiedenen Abteilungen der Universität Oxford (UK) gehörten. Die E-Mail-Header zeigten, dass die Angreifer einen Weg gefunden hatten, einen der SMTP-Server der Universität Oxford zu missbrauchen. Die E-Mail stammte von der NordVPN-IP-Adresse 194.35.233.10 und wurde dann an den Oxford-SMTP-Server und den Oxford-Relay-Server weitergeleitet.

Die Verwendung legitimer Oxford-SMTP-Server ermöglichte es den Angreifern, die Reputationsprüfung für die Absenderdomäne zu bestehen. Darüber hinaus war es nicht notwendig, tatsächliche E-Mail-Konten zu kompromittieren, um Phishing-E-Mails zu versenden, da sie so viele E-Mail-Adressen generieren konnten, wie sie wollten.