Die Sicherheitsforscher des ThreatLabz-Teams von Zscaler haben eine Phishing-Kampagne enttarnt, die per Voicemail-Benachrichtigung versucht vertrauliche Daten abzugreifen. Das Ziel der Angreifer ist der Diebstahl von Office 365 und Outlook-Anmeldeinformationen. Die gleichen Taktiken, Techniken und Prozesse (TTP) konnten bereits in einer ähnlichen Angriffsmasche im Juli 2020 festgestellt werden.
Deshalb geht Zscaler vom gleichen Bedrohungs-Akteur aus. Die aktuell betroffenen Großunternehmen stammen aus den Branchen Sicherheits-Lösungsanbieter, militärische Einrichtungen, Gesundheitswesen, Pharma und der Lieferkette für die Fertigungsindustrie.
In der neuen Kampagne werden erneut Sprachnachrichten für das Social-Engineering eingesetzt. Über eine Mitteilung zu einem verpassten Anruf sollen ahnungslose Opfer dazu verleitet werden, ein HTML Attachment anzuklicken. Wird der Anhang geöffnet, wird der User auf eine Phishing-Seite weitergeleitet.
Die Bedrohungs-Akteure verwenden ein CAPTCHA, um die Phishing-Seite vor automatischen URL-Analysealgorithmen zu schützen. Darüber hinaus wird jede URL speziell für die Zielperson und das Zielunternehmen erstellt.
Fazit
Phishing-Kampagnen mit Sprachnachrichten sind nach wie vor eine Technik, um Opfer dazu zu verleiten, E-Mail-Anhänge oder Links zu bösartigen URLs zu öffnen. In Kombination mit dem Einsatz von Taktiken zur Umgehung automatischer URL-Analyselösungen können die Angreifer so die Anmeldedaten der Benutzer stehlen.
Einmal mehr empfiehlt sich als Sicherheitsvorkehrung Vorsicht bei Nachrichten von unbekannten oder nicht vertrauenswürdigen Absendern walten zu lassen. Als bewährte Praxis sollten Benutzer generell die URL im Browser überprüfen, bevor sie ihre Anmeldedaten in ein Formular eingeben.
Das Zscaler ThreatLabz-Team wird diese und andere Kampagnen weiter beobachten.