Office 365 Phishing-Kampagne aufgedeckt

Microsoft Office 365 gerät immer mehr ins Visier von Cyberkriminellen, berichten die Sicherheitsexperten von Check Point. Phishing-Kampagnen beginnen gezielte Angriffe auf die Microsoft-Plattform.

Kürzlich erregte eine scheinbar unspektakuläre Phishing-Kampagne für Office 365 die Aufmerksamkeit von Check Point. Die Angreifer missbrauchten einen Umleitungsmechanismus des Email-Marketing-Campaign Servers von Adobe. Dann manipulierten sie eine Samsung-Domäne, um die Opfer auf eine Phishing-Website mit dem Thema Office 365. Die Hacker nutzten die Tatsache aus, dass der Zugriff auf eine seriöse Domain, wie die von Samsung, nicht durch Sicherheitssoftware blockiert wird.

Um ihre Kampagne auszuweiten, kompromittierten die Angreifer auch mehrere Websites, um ein Skript einzuschleusen, das den gleichen Mechanismus imitiert, der vom Adobe-Umleitungsdienst angeboten wird. Weitere Untersuchungen ergaben, dass die Akteure hinter der Kampagne noch einige andere interessante Tricks einsetzten, um das Phishing-Kit zu verstecken und eine Entdeckung in jeder Phase des Angriffs zu vermeiden.

Es ist ein wichtiger Hinweis, dass weder Adobe noch Samsung durch die Ausnutzung einer Schwachstelle kompromittiert wurden. Der Adobe Campaign-Server von Samsung sollte Services übernehmen, die nicht unbedingt Teil der Marketing-Bemühungen des Unternehmens waren.

Ein Umleitungsmechanismus leitet Benutzer zu einem Ziel um, das in der URL angegeben ist, auf die sie gerade geklickt haben. Auf diese Weise können Kampagnenmanager beispielsweise die laufenden Werbeanstrengungen messen und überwachen, indem sie jeden erfolgreichen Besuch protokollieren, bevor sie den Benutzer auf eine Anzeigenseite weiterleiten.

Anfang April 2020 entdeckte Check Point eine Phishing-Kampagne, die ihren Opfern „verpasste Sprachnachrichten“ per E-Mail zustellte. Ungefähr 43% dieser Angriffe richteten sich gegen europäische Unternehmen, während der Rest in Asien und im Nahen Osten beobachtet wurde. Die E-Mails forderten die Benutzer auf, auf eine Schaltfläche zu klicken, die sie angeblich zu ihrem Office 365-Konto führen würde.

Diese E-Mails verwenden einige sehr einfache Anpassungen, wie z.B. eine Betreffzeile mit dem Ziel-Domain-Namen und dem Benutzernamen, die im Hauptteil der E-Mail enthalten sind. Trotz der Benachrichtigung „Nachricht vom vertrauenswürdigen Server“ am Anfang hätte ein wachsamer Benutzer einige Ungenauigkeiten bemerkt.

Nachdem die Opfer auf die Schaltfläche geklickt hatten, wurden sie zu einer Phishing-Seite umgeleitet, die sich als Anmeldeseite von Office 365 ausgab. Hinter den Kulissen besteht diese Umleitung aus zwei Stufen: In der ersten Stufe wurde ein bestehendes Umleitungsschema auf der legitimen Domäne missbraucht (z. B. samsung[.]ca), und in der zweiten Stufe wurde der Benutzer auf eine kompromittierte WordPress-Seite umgeleitet.

Die meisten der E-Mails stammten von mehreren generierten Adressen, die zu legitimen Subdomains von verschiedenen Abteilungen der Universität Oxford (UK) gehörten. Die E-Mail-Header zeigten, dass die Angreifer einen Weg gefunden hatten, einen der SMTP-Server der Universität Oxford zu missbrauchen. Die E-Mail stammte von der NordVPN-IP-Adresse 194.35.233.10 und wurde dann an den Oxford-SMTP-Server und den Oxford-Relay-Server weitergeleitet.

Die Verwendung legitimer Oxford-SMTP-Server ermöglichte es den Angreifern, die Reputationsprüfung für die Absenderdomäne zu bestehen. Darüber hinaus war es nicht notwendig, tatsächliche E-Mail-Konten zu kompromittieren, um Phishing-E-Mails zu versenden, da sie so viele E-Mail-Adressen generieren konnten, wie sie wollten.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Tag ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

2 Tagen ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago