MÜNCHEN (IT BOLTWISE) – Microsoft hat kürzlich vor einer Reihe von Phishing-Kampagnen gewarnt, die sich steuerbezogene Themen zunutze machen, um Malware zu verbreiten und Anmeldedaten zu stehlen.
Microsoft hat eine Warnung vor mehreren Phishing-Kampagnen herausgegeben, die steuerbezogene Themen nutzen, um Malware zu verbreiten und Anmeldedaten zu stehlen. Diese Kampagnen verwenden Umleitungsmethoden wie URL-Shortener und QR-Codes in bösartigen Anhängen und missbrauchen legitime Dienste wie File-Hosting-Services und Geschäftsprofilseiten, um der Entdeckung zu entgehen.
Ein bemerkenswerter Aspekt dieser Kampagnen ist, dass sie zu Phishing-Seiten führen, die über eine Phishing-as-a-Service (PhaaS)-Plattform namens RaccoonO365 bereitgestellt werden. Diese Plattform wurde erstmals im Dezember 2024 bekannt. Zusätzlich werden Remote-Access-Trojaner (RATs) wie Remcos RAT sowie andere Malware und Post-Exploitation-Frameworks wie Latrodectus, AHKBot, GuLoader und BruteRatel C4 (BRc4) ausgeliefert.
Eine solche Kampagne, die von Microsoft am 6. Februar 2025 entdeckt wurde, soll Hunderte von E-Mails an die USA gesendet haben, um BRc4 und Latrodectus zu verbreiten. Diese Aktivitäten wurden Storm-0249 zugeschrieben, einem Initial-Access-Broker, der zuvor für die Verbreitung von BazaLoader, IcedID, Bumblebee und Emotet bekannt war.
Die Angriffe beinhalten die Verwendung von PDF-Anhängen, die einen Link enthalten, der Benutzer zu einer über Rebrandly verkürzten URL weiterleitet und sie letztendlich zu einer gefälschten Docusign-Seite führt. Dort haben sie die Möglichkeit, das Dokument anzuzeigen oder herunterzuladen. Wenn Benutzer auf die Schaltfläche ‘Download’ auf der Zielseite klicken, hängt das Ergebnis davon ab, ob ihr System und ihre IP-Adresse gemäß den vom Bedrohungsakteur festgelegten Filterregeln auf die nächste Stufe zugreifen dürfen.
Wenn der Zugriff erlaubt ist, wird dem Benutzer eine JavaScript-Datei gesendet, die anschließend einen Microsoft Software Installer (MSI) für BRc4 herunterlädt, der als Kanal für die Bereitstellung von Latrodectus dient. Wenn das Opfer nicht als wertvolles Ziel angesehen wird, erhält es ein harmloses PDF-Dokument von royalegroupnyc[.]com.
Microsoft entdeckte auch eine zweite Kampagne zwischen dem 12. und 28. Februar 2025, bei der steuerbezogene Phishing-E-Mails an mehr als 2.300 Organisationen in den USA gesendet wurden, insbesondere an die Bereiche Ingenieurwesen, IT und Beratung. Die E-Mails enthielten keinen Inhalt im Nachrichtentext, sondern einen PDF-Anhang mit einem QR-Code, der auf einen Link zur RaccoonO365 PhaaS verwies, der Microsoft 365-Anmeldeseiten nachahmt, um Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.
Diese Kampagnen kommen in verschiedenen Formen vor, wobei steuerbezogene Phishing-E-Mails auch andere Malware-Familien wie AHKBot und GuLoader verbreiten. AHKBot-Infektionsketten leiten Benutzer zu Websites, die eine bösartige Microsoft Excel-Datei hosten, die beim Öffnen und Aktivieren von Makros eine MSI-Datei herunterlädt und ausführt, um ein AutoHotKey-Skript zu starten, das dann ein Screenshotter-Modul herunterlädt, um Screenshots vom kompromittierten Host aufzunehmen und an einen Remote-Server zu exfiltrieren.
Die GuLoader-Kampagne zielt darauf ab, Benutzer dazu zu verleiten, auf eine URL in einem PDF-E-Mail-Anhang zu klicken, was zum Herunterladen einer ZIP-Datei führt. Die ZIP-Datei enthält verschiedene .lnk-Dateien, die so eingerichtet sind, dass sie Steuerdokumente nachahmen. Wenn sie vom Benutzer gestartet werden, verwendet die .lnk-Datei PowerShell, um ein PDF und eine .bat-Datei herunterzuladen. Die .bat-Datei lädt wiederum die GuLoader-Executable herunter, die dann Remcos installiert.
Diese Entwicklungen folgen auf eine Warnung von Microsoft vor einer weiteren Storm-0249-Kampagne, die Benutzer zu gefälschten Websites umleitete, die Windows 11 Pro bewerben, um eine aktualisierte Version der Latrodectus-Loader-Malware über das BruteRatel-Red-Teaming-Tool bereitzustellen. Der Bedrohungsakteur nutzte wahrscheinlich Facebook, um den Verkehr zu den gefälschten Windows 11 Pro-Download-Seiten zu lenken, da in mehreren Fällen Facebook-Referrer-URLs beobachtet wurden.
Latrodectus 1.9, die neueste Entwicklung der Malware, die erstmals im Februar 2025 beobachtet wurde, führte die geplante Aufgabe zur Persistenz wieder ein und fügte Befehl 23 hinzu, der die Ausführung von Windows-Befehlen über ‘cmd.exe /c’ ermöglicht. Diese Enthüllungen folgen auf eine Zunahme von Kampagnen, die QR-Codes in Phishing-Dokumenten verwenden, um bösartige URLs zu verschleiern, als Teil weit verbreiteter Angriffe, die auf Europa und die USA abzielen und zum Diebstahl von Anmeldedaten führen.
Die Analyse der aus den QR-Codes extrahierten URLs in diesen Kampagnen zeigt, dass Angreifer typischerweise vermeiden, URLs einzuschließen, die direkt auf die Phishing-Domain verweisen. Stattdessen verwenden sie häufig URL-Umleitungsmechanismen oder nutzen offene Umleitungen auf legitimen Websites aus.
Diese Erkenntnisse kommen inmitten mehrerer Phishing- und Social-Engineering-Kampagnen, die in den letzten Wochen gemeldet wurden. Dazu gehören die Verwendung der Browser-in-the-Browser-Technik, um scheinbar realistische Browser-Pop-ups zu präsentieren, die Spieler von Counter-Strike 2 dazu verleiten, ihre Steam-Anmeldedaten einzugeben, mit dem wahrscheinlichen Ziel, den Zugang zu diesen Konten gewinnbringend weiterzuverkaufen.
Um die Risiken dieser Angriffe zu mindern, ist es wichtig, dass Organisationen phishing-resistente Authentifizierungsmethoden für Benutzer einführen, Browser verwenden, die bösartige Websites blockieren können, und Netzwerkschutz aktivieren, um zu verhindern, dass Anwendungen oder Benutzer auf bösartige Domains zugreifen.
☕︎ Unterstützen Sie IT BOLTWISE® und treten Sie unserem exklusiven KI-Club bei - für nur 1,99 Euro pro Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Senior Fullstack Developer für KI-getriebene Missionstechnologien (w/m/d)
Junior IT Consultant - Cloud / Security / Digital Workplace / Data & AI / Network / Mainframe ((m/w/d)/x)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
IT-Engineer (m/w/d) mit Schwerpunkt Data & AI
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs« bei Google Deutschland suchen, bei Bing oder Google News!