Skip to content

Phishing-Kampagne zielt mit gefälschten Auszeichnungen auf Führungskräfte ab

Diesen Post Teilen

Eine Phihingkampagne zielt auf Führungskräfte mit gefälschten Angeboten für Auszeichnungen ab, so die Forscher der Trustwave SpiderLabs. Die Angreifer bringen die Opfer zunächst dazu, ihre Anmeldedaten zu übermitteln, und nutzen dann die ClickFix-Social-Engineering-Technik, um sie zur Installation von Malware zu verleiten.

„Die Kampagne verwendet eine hochwertige Anerkennungskampagne mit dem Namen ‚Cartier Recognition Program‘, um Führungskräfte anzusprechen“, schreiben die Forscher. sie enthält eine passwortgeschützte ZIP-Datei und personalisierte Details, um legitim zu erscheinen, und fordert das Opfer auf, das angehängte „sichere digitale Paket“ zu öffnen, um die Belohnung in Anspruch zu nehmen, wodurch die nachfolgende Phish- und Malware-Kette mit Anmeldeinformationen in Gang gesetzt wird

Wenn der Benutzer die ZIP-Datei öffnet, wird er zunächst auf eine HTML-Seite geleitet, die sich als Anmeldeportal ausgibt, um seine Anmeldedaten zu sammeln. Das Anmeldeportal ist so gestaltet, dass es sich als der E-Mail-Anbieter des Opfers ausgibt. Nachdem die Anmeldedaten an die Angreifer gesendet wurden, wird dem Opfer eine gefälschte Fehlerseite angezeigt, die die ClickFix-Phase des Angriffs einleitet.

ClickFix ist eine Social Engineering Technik, die Benutzer dazu verleitet, einen bösartigen Befehl zu kopieren und einzufügen und ihn auf ihrem Computer auszuführen. In diesem Fall fordert die gefälschte Fehlerseite den Benutzer auf, eine Windows-Eingabeaufforderung zu öffnen und einen Befehl einzufügen, der die Stealerium-Malware herunterlädt.

die bösartige SVG zeigt eine gefälschte Chrome-Fehlermeldung an und weist den Benutzer an, einen PowerShell-„Fix“ in cmd auszuführen“, schreiben die Forscher. „Dieser ClickFix-Trick verwandelt einen einfachen Bild-Download in eine benutzergesteuerte Code-Ausführung, die den Stager startet, der Stealerium installiert.“

KI-unterstütztes Sicherheitstraining befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen und das menschliche Risiko zu verringern.

GB Hackers hat die story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten