Ein neues Phishing-Kit gibt sich als der italienische IT- und Web-Service-Anbieter Aruba aus, so die Forscher von Group-IB. Das Kit soll Nutzer dazu bringen, ihre Aruba-Anmeldedaten einzugeben, um Angreifern Zugang zu sensiblen Konten zu gewähren.
„Ein solches Ziel bietet erhebliche Vorteile: Die Kompromittierung eines einzigen Kontos kann wichtige Unternehmensressourcen offenlegen, von gehosteten Websites bis hin zu Domain-Kontrollen und E-Mail-Umgebungen“, so Group-IB.
Das Kit nutzt bewährte Phishing-Taktiken, um Benutzer mit E-Mails anzusprechen, die sich als dringende Benachrichtigungen von Aruba ausgeben.
„Der Angriff beginnt in der Regel mit einem klassischen Spear-Phishing-Köder“, schreiben die Forscher. „Die Opfer erhalten eine E-Mail, die ein Gefühl der Dringlichkeit vermitteln soll, z. B. eine Warnung über einen auslaufenden Dienst oder eine fehlgeschlagene Zahlung – Taktiken, vor denen Aruba selbst seine Kunden warnt. Die E-Mail enthält einen Link zu einer von vielen Phishing-Seiten, die das offizielle Aruba.it-Webmail-Anmeldeportal akribisch imitieren.“
Das Phishing-Kit verfügt außerdem über integrierte Funktionen, die es ihm ermöglichen, die Erkennung zu umgehen und den Diebstahl von Zugangsdaten zu automatisieren.
„Die Forscher der Group-IB haben das Phishing-Kit analysiert und festgestellt, dass es sich um mehr als eine geklonte Webseite handelt – es ist eine vollautomatische, mehrstufige Plattform, die auf Effizienz und Tarnung ausgelegt ist“, schreiben die Forscher. „Es nutzt CAPTCHA-Filter, um Sicherheitsscans zu umgehen, füllt Opferdaten vor, um die Glaubwürdigkeit zu erhöhen, und verwendet Telegram-Bots, um gestohlene Anmeldeinformationen und Zahlungsinformationen zu exfiltrieren. Jede Funktion dient einem einzigen Ziel: dem Diebstahl von Zugangsdaten im großen Stil
Dieses Kit unterstreicht den allgemeinen Trend zu Phishing-as-a-Service-Tools, die Angriffe vollständig automatisieren und unerfahrenen Bedrohungsakteuren die Durchführung anspruchsvoller Operationen ermöglichen.
„Indem sie die Architektur des Kits und die Telegram-Infrastruktur verfolgten, haben die Analysten der Group-IB dokumentiert, wie die heutigen Phishing-Anbieter in Struktur und Umfang legitime SaaS-Unternehmen widerspiegeln“, schreiben die Forscher. „Diese Industrialisierung verwandelt Phishing von einer Reihe isolierter Betrügereien in eine dauerhafte, automatisierte Lieferkette. Das Verständnis dieses Wandels ist für Verteidiger von entscheidender Bedeutung, die sich nun nicht mehr mit Einzelpersonen, sondern mit einem Ökosystem auseinandersetzen müssen, das sich wie ein agiles Unternehmen verhält.
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Die Gruppe-IB hat die story.