Neue Spear Phishing Technik
Neue Erkenntnisse zur Spear Phishing-Kampagne „FreeMilk“
„FreeMilk“ kapert die laufende E-Mail-Kommunikation
Allgemeine Phishing-Attacken sind meist breit angelegt, nutzen E-Mails mit generellen Betreffzeilen um eine Vielzahl an Empfängern dazu zu veranlassen einen Link oder ein Attachment zu öffnen. Die Kriminellen werfen dabei also ein sehr großes Netz aus, in der Hoffnung dass zumindest ein paar Adressaten auf den Betrug hereinfallen.
Beim Spear Phishing hingegen gehen die Angreifer wesentlich zielgerichteter vor. Hier wird ein Opfer – oder eine kleine Gruppe – ausgewählt und individuell angegriffen. Dadurch sind die Betrugsversuche wesentlich passgenauer und haben eine höhere Erfolgschance. Da mit viel Aufwand das Vertrauen des Empfängers geweckt wird, tendiert dieser eher dazu einen Link zu klicken oder ein Attachement zu öffnen. Dann steht dem Erfolg der Angreifer oft nicht mehr viel im Wege.
Vor wenigen Tagen gab Unit 42 , das Anti-Malware Team von Palo Alto Networks, neue Erkenntnisse zur Spear Phishing-Kampagne „FreeMilk“ bekannt. Hierbei kommen relativ neue Angriffstechniken zum Einsatz, die sich als sehr effizient herausgestellt haben. Für gewöhnlich werden solche Techniken nur genutzt um extrem vielversprechende Ziele zu kapern. Dabei handelt es sich dann meist um Individuen, die Zugang zu sehr sensiblen und damit wertvollen Daten haben, wie beispielsweise Vorstände und Manager, Politiker, Militärs und Geheimnisträger. Allerdings können auch Personen ins Fadenkreuz der Kriminellen geraten, die in enger Beziehung zu den eigentlichen Zielen stehen – Assistenten, Freunde und Familie.
Bei FreeMilk handelt es sich um eine ausgefeilte Spear Phishing-Kampagne. Der Trick der Angreifer: Statt eine E-Mail mit einem für den Empfänger seriös wirkenden Betreff zu senden, kapern die Kriminellen eine bereits laufende E-Mail-Konversation und schleusen harmlos wirkende Attachments in den E-Mail-Verkehr, die dann arglos geöffnet werden.
Ablauf des Angriffs
- User A und User B tauschen E-Mails zu einem bestimmten Thema aus, mehrfach hin und her
- Der Angreifer bekommt durch den Diebstahl von Credentials, Zugriff auf den E-Mail-Account von User A und kann nun frei agieren
- Der Angreifer nutzt illegal den E-Mail-Account von User A und versendet eine Mail mit einem schädlichen Attachment, das auf den ersten Blick keinen Verdacht beim Empfänger weckt, da die Datei thematisch zum Gespräch passt.
- User B erhält die Mail, geht davon aus, dass er sie von User A bekommen hat, öffnet das Attachment, in dem sich die Malware verbirgt – die Attacke läuft.
Unit 42 hat festgestellt, dass bei der Spear Phishing-Kampagne “FreeMilk” eine Schwachstelle in Microsoft Office ausgenutzt wird, für die es bereits ein Patch gibt. Um sich vor FreeMilk zu schützen und auch ähnliche Attacken abzuwehren sollten daher unbedingt alle verfügbaren Patches eingespielt und Betriebssysteme auf den neusten Stand gebracht werden.
Zusätzlich rät Palo Alto Networks weitere Sicherheitsmaßnahmen für Endgeräte und Netzwerke zu ergreifen um solche Angriffe abzuwehren. Dazu gehört beispielsweise die Aktivierung von Multi-Faktor-Authentifizierung, wo dies möglich ist. Dadurch werden gestohlene Credentials für die meisten Angreifer wertlos, denn dadurch wird es schwerer E-Mail-Accounts zu kapern und so Attacken wie FreeMilk zu starten.
