Phishing wird immer heimtückischer
Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.
Kommentar von Vadym Khvoinytskyi
SocGholish wurde erstmals im Jahr 2018 entdeckt und seitdem sind die Angriffe mit dieser Malware immer komplexer geworden. Die Angreifer nutzen kompromittierte Websites, die von so hoher Qualität sind, dass die Bösartigkeit nicht erkannt wird. Die Folge ist, dass sie sogar in Google Alert und anderen Aggregatoren enthalten sind und in den Suchergebnissen angeboten werden können.
Die Seiten weisen nicht die üblichen Merkmale anderer Phishing-Angriffe auf, wie etwa Dringlichkeit, minderwertige Webseiten und unglaubliche Versprechungen. Die Opfer werden auf qualitativ hochwertige Websites geleitet, die keinen Verdacht erregen. Das einzige Zeichen, das Skepsis hervorrufen kann, ist die Aufforderung, Dateien herunterzuladen.
Das Problem bei der Erkennung der Bedrohung ist, dass nicht alle Benutzer aufgefordert werden, infizierte Dateien herunterzuladen. Der ausliefernde Server der Website differenziert die dargebotenen Inhalte in Abhängigkeit des “Besuchers”und selbst wenn der Benutzer Dateien heruntergeladen hat, setzt sich der Angriff nicht immer oder nicht immer auf die gleiche Weise fort, was den Wiedererkennungswert erschwert.
Die Angreifer bewerten in jeder Phase des Angriffs unterschiedliche Eigenschaften des Browsers, des Betriebssystems usw., sodass sich die Malware bei verschiedenen Personen unterschiedlich verhält. Dieses Verhalten erschwert die Erkennung und Bewertung der Bedrohung erheblich.
Die Raffinesse dieses Angriffs scheint auf die Zusammenarbeit mehrerer Hackergruppen zurückzuführen zu sein. So ist Bspw. TA569 für die Infizierung von Websites verantwortlich, während SocGholish das Opfer mit WastedLocker, Hive, LockBit oder anderen infiziert, abhängig von den Systemeinstellungen des Opfers. Auf diese Weise verhindert der Angriff eine schnelle Entdeckung und fügt dem Opfer maximalen Schaden zu.
Der Schutz Ihres Unternehmens und Ihrer Mitarbeiter muss daher immer ausgefeilter werden. Vorsicht alleine ist gut aber nicht ausreichend. Der Schaden durch Phishing wird immer größer. Wir können Ihnen dabei helfen, die vorhandene Malware in Ihrer digitalen Infrastruktur zu erkennen und einzuschränken, und Sie vor der Infektion mit neuer Malware schützen.
Quelle:
https://neosec.eu/phishing-as-a-service-gewinnt-im-dark-web-an-bedeutung/index.html
https://www.spiceworks.com/it-security/cyber-risk-management/news/socgholish-malware-distributed-on-news-websites/
