Ein neuer Phishing Kampagne für Nutzer von Microsoft Outlook Der E-Mail-Dienst wird in großem Umfang genutzt, warnten Cybersicherheitsforscher von at Zscaler ThreatLabz in einem Bericht. Laut ThreatLabz sind die Hauptziele dieser Kampagne die Unternehmensnutzer der E-Mail-Dienste von Microsoft.
Dem Bericht zufolge verwendet das neue Phishing-Kit ein Adversary-in-the-Middle (AiTM)-Modell, das helfen könnte, der Erkennung durch zu entgehen Netzwerk Sicherheit und E-Mail-Schutz. Das AiTM-Modell kann es dem Phishing-Angriff auch ermöglichen, den Multi-Faktor-Authentifizierungsschutz zu umgehen.
Diese Phishing-Angriffe anfangen mit E-Mails mit schädlichen Links, die an die Zielpersonen gesendet werden. In einigen Fällen werden die geschäftlichen E-Mails von Führungskräften zuerst kompromittiert und dann verwendet, um mehrere Personen anzugreifen.
„Basierend auf unserer Cloud-Datentelemetrie befand sich die Mehrheit der Zielorganisationen in der FinTech, Kredit-, Finanz-, Versicherungs-, Buchhaltungs-, Energie- und Federal Credit Union-Branchen. Dies ist keine vollständige Liste der angestrebten Branchenvertikalen. Ein Großteil der betroffenen Organisationen befand sich in den Vereinigten Staaten, Großbritannien, Neuseeland und Australien“, heißt es in dem Bericht.
Der Bericht legt auch einige „interessante Domänennamenmuster“ dar, die wie folgt lauten:
Legitimer Domainname der Federal Credit Union: crossvalleyfcu[.]org
Vom Angreifer registrierter Domänenname: crossvalleyfcv[.]org
Legiter Domänenname der Federal Credit Union:triboro-fcu[.]org
Vom Angreifer registrierter Domänenname: triboro-fcv[.]org
Legiter Domänenname der Federal Credit Union: cityfederalcu[.]com
Vom Angreifer registrierter Domänenname: cityfederalcv[.]com
Legitimer Domainname der Federal Credit Union: portconnfcu[.]com
Vom Angreifer registrierter Domänenname: portconnfcuu[.]com
Legitimer Domainname der Federal Credit Union: oufcu[.]com
Vom Angreifer registrierter Domänenname: oufcv[.]com
Schlüsselwörter im Zusammenhang mit „Passwort zurücksetzen“ und „Passwortablauf“
Dem Bericht zufolge verwendeten einige der Domainnamen Schlüsselwörter im Zusammenhang mit Erinnerungen an „Passwort zurücksetzen“ und „Passwortablauf“. Es kann sein, dass auch das Thema der entsprechenden Phishing-E-Mails mit solchen Schlüsselwörtern in Verbindung gebracht wurde
Ablaufanfrage-Mailzugriff[.]com
ExpirationRequest-PasswordReminder[.]com
emailaccess-passwordnotice[.]com
emailaccess-expirynotification[.]com
Der Bericht betont, dass mehrere andere Bereiche an dieser aktiven Kampagne beteiligt sind und nicht alle einem bestimmten Muster folgen.
FacebookTwitterInstagramKOO-APPYOUTUBE