Telegrambasiertes Phishing-Kit nimmt Microsoft-Konten ins Visier

Ein neues Phishing-Kit nimmt Microsoft-Konten ins Visier. Die mittels "Sneaky 2FA" erstellten Phishing-Seiten sind seit mindestens Oktober 2024 im Umlauf, wie "Sekoia" berichtet. Dabei handle es sich um einen Adversary-in-the-Middle-Phishing-Kit, bei dem Informationen abgefangen werden, welche zwischen zwei Geräten versendet werden. 

Weitere Untersuchungen von "Sekoia" hätten ergeben, dass der Cybercrimedienst Sneaky Log das Phishing-Kit als Phishing-as-a-Service (PhaaS) über einen Chatbot auf Telegram anbietet. Die Käufer sollen dabei Zugriff auf eine verschleierte Version des Quellcodes erhalten, um diesen selbst zu nutzen. Die Phishing-Seiten von Sneaky 2FA werden laut Bericht auf kompromittierten Infrastrukturen - häufig Wordpress-Websites und anderen von Angreifern kontrollierten Domains - gehostet.

Heimtückische Täuschungstechniken 

Zur Steigerung erfolgreicher Phishing-Angriffe und um unentdeckt zu bleiben, nutze das Sneaky-2FA-Kit Täuschungstechniken wie URL-Muster, mit denen die Microsoft-Phishing-Seiten automatisch mit der E-Mail-Adresse eines potenziellen Opfers ausgefüllt werden. Des Weiteren integriere Sneaky 2FA Anti-Bot- sowie Anti-Analyse-Funktionen. Um menschliche User von Chatbots zu unterscheiden, verwende das Phishing-Kit zudem Cloudflare Turnstile-Seiten. Ferner enthält es laut "Sekoia" Anti-Debugging-Techniken, die eine Analyse mit Webbrowser-Entwicklungstools verhindern. 

Die Phishing-Seiten selbst würden verschiedene Verschleierungsmethoden einsetzen, wie das Verstecken von HTML- und Javascript-Code, das Einbetten von Text als Bilder und das Hinzufügen von Junk-Daten im HTML-Code. Diese Techniken erschweren dem Bericht zufolge die Erkennung der Phishing-Seiten durch Sicherheitstools.

Telegram-Chatbot als Phishing-Dienst 

Betrieben werde der Sneaky-Log-Dienst über einen Telegram-Chatbot. Der PhaaS-Anbieter setzt den Chatbot sowohl für den Verkauf des Phishing-Kits als auch zur Verwaltung von Abonnements und den Support ein, wie es weiter heisst. Der Chatbot habe eine benutzerfreundliche Oberfläche und biete die Möglichkeit der Bezahlung in diversen Kryptowährungen wie Bitcoin oder Ethereum. Im Zusammenhang dieser Kryptowährungstransaktionen deckte "Sekoia" im Rahmen ihrer Analyse auch potenzielle Geldwäscheaktivitäten auf. 

2FA-Angriffe erkennen und vorbeugen

Die heimtückischen 2FA-Angriffe liessen sich mittels einer Analyse von Authentifizierungsprotokollen und Anomalien aufdecken. Die Phishing-Kits nutzen laut Bericht unbeständige User-Agent-Zeichenfolgen, die als "unmögliche Geräteverschiebungen" identifiziert und als "verdächtige Aktivität" gekennzeichnet werden können. Des Weiteren helfe auch die Untersuchung von URLs, einschliesslich Mustern in Domänenregistrierungen, dabei, solche Angriffe zu erkennen. Unternehmen sollen nebst der Verbesserung ihrer Cybersicherheitsmassnahmen auch Bedrohungsdaten kontinuierlich überwachen und teilen.

Erst kürzlich hat sich eine neue Phishing-Kampagne Microsoft Word zunutze gemacht. Lesen Sie hier mehr über die Phishing-Methode, bei welcher Cyberkriminelle mithilfe von Microsofts Wiederherstellungsfunktion für Word-Dokumente Sicherheitssysteme zu überwinden versuchten. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.