MÜNCHEN (IT BOLTWISE) – Microsoft hat kürzlich vor einer Reihe von Phishing-Kampagnen gewarnt, die sich steuerbezogene Themen zunutze machen, um Malware zu verbreiten und Anmeldedaten zu stehlen.

Microsoft hat eine Warnung vor mehreren Phishing-Kampagnen herausgegeben, die steuerbezogene Themen nutzen, um Malware zu verbreiten und Anmeldedaten zu stehlen. Diese Kampagnen verwenden Umleitungsmethoden wie URL-Shortener und QR-Codes in bösartigen Anhängen und missbrauchen legitime Dienste wie File-Hosting-Services und Geschäftsprofilseiten, um der Entdeckung zu entgehen.

Ein bemerkenswerter Aspekt dieser Kampagnen ist, dass sie zu Phishing-Seiten führen, die über eine Phishing-as-a-Service (PhaaS)-Plattform namens RaccoonO365 bereitgestellt werden. Diese Plattform wurde erstmals im Dezember 2024 bekannt. Zusätzlich werden Remote-Access-Trojaner (RATs) wie Remcos RAT sowie andere Malware und Post-Exploitation-Frameworks wie Latrodectus, AHKBot, GuLoader und BruteRatel C4 (BRc4) ausgeliefert.

Eine solche Kampagne, die von Microsoft am 6. Februar 2025 entdeckt wurde, soll Hunderte von E-Mails an die USA gesendet haben, um BRc4 und Latrodectus zu verbreiten. Diese Aktivitäten wurden Storm-0249 zugeschrieben, einem Initial-Access-Broker, der zuvor für die Verbreitung von BazaLoader, IcedID, Bumblebee und Emotet bekannt war.

Die Angriffe beinhalten die Verwendung von PDF-Anhängen, die einen Link enthalten, der Benutzer zu einer über Rebrandly verkürzten URL weiterleitet und sie letztendlich zu einer gefälschten Docusign-Seite führt. Dort haben sie die Möglichkeit, das Dokument anzuzeigen oder herunterzuladen. Wenn Benutzer auf die Schaltfläche ‘Download’ auf der Zielseite klicken, hängt das Ergebnis davon ab, ob ihr System und ihre IP-Adresse gemäß den vom Bedrohungsakteur festgelegten Filterregeln auf die nächste Stufe zugreifen dürfen.

Wenn der Zugriff erlaubt ist, wird dem Benutzer eine JavaScript-Datei gesendet, die anschließend einen Microsoft Software Installer (MSI) für BRc4 herunterlädt, der als Kanal für die Bereitstellung von Latrodectus dient. Wenn das Opfer nicht als wertvolles Ziel angesehen wird, erhält es ein harmloses PDF-Dokument von royalegroupnyc[.]com.

Microsoft entdeckte auch eine zweite Kampagne zwischen dem 12. und 28. Februar 2025, bei der steuerbezogene Phishing-E-Mails an mehr als 2.300 Organisationen in den USA gesendet wurden, insbesondere an die Bereiche Ingenieurwesen, IT und Beratung. Die E-Mails enthielten keinen Inhalt im Nachrichtentext, sondern einen PDF-Anhang mit einem QR-Code, der auf einen Link zur RaccoonO365 PhaaS verwies, der Microsoft 365-Anmeldeseiten nachahmt, um Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.

Diese Kampagnen kommen in verschiedenen Formen vor, wobei steuerbezogene Phishing-E-Mails auch andere Malware-Familien wie AHKBot und GuLoader verbreiten. AHKBot-Infektionsketten leiten Benutzer zu Websites, die eine bösartige Microsoft Excel-Datei hosten, die beim Öffnen und Aktivieren von Makros eine MSI-Datei herunterlädt und ausführt, um ein AutoHotKey-Skript zu starten, das dann ein Screenshotter-Modul herunterlädt, um Screenshots vom kompromittierten Host aufzunehmen und an einen Remote-Server zu exfiltrieren.

Die GuLoader-Kampagne zielt darauf ab, Benutzer dazu zu verleiten, auf eine URL in einem PDF-E-Mail-Anhang zu klicken, was zum Herunterladen einer ZIP-Datei führt. Die ZIP-Datei enthält verschiedene .lnk-Dateien, die so eingerichtet sind, dass sie Steuerdokumente nachahmen. Wenn sie vom Benutzer gestartet werden, verwendet die .lnk-Datei PowerShell, um ein PDF und eine .bat-Datei herunterzuladen. Die .bat-Datei lädt wiederum die GuLoader-Executable herunter, die dann Remcos installiert.

Diese Entwicklungen folgen auf eine Warnung von Microsoft vor einer weiteren Storm-0249-Kampagne, die Benutzer zu gefälschten Websites umleitete, die Windows 11 Pro bewerben, um eine aktualisierte Version der Latrodectus-Loader-Malware über das BruteRatel-Red-Teaming-Tool bereitzustellen. Der Bedrohungsakteur nutzte wahrscheinlich Facebook, um den Verkehr zu den gefälschten Windows 11 Pro-Download-Seiten zu lenken, da in mehreren Fällen Facebook-Referrer-URLs beobachtet wurden.

Latrodectus 1.9, die neueste Entwicklung der Malware, die erstmals im Februar 2025 beobachtet wurde, führte die geplante Aufgabe zur Persistenz wieder ein und fügte Befehl 23 hinzu, der die Ausführung von Windows-Befehlen über ‘cmd.exe /c’ ermöglicht. Diese Enthüllungen folgen auf eine Zunahme von Kampagnen, die QR-Codes in Phishing-Dokumenten verwenden, um bösartige URLs zu verschleiern, als Teil weit verbreiteter Angriffe, die auf Europa und die USA abzielen und zum Diebstahl von Anmeldedaten führen.

Die Analyse der aus den QR-Codes extrahierten URLs in diesen Kampagnen zeigt, dass Angreifer typischerweise vermeiden, URLs einzuschließen, die direkt auf die Phishing-Domain verweisen. Stattdessen verwenden sie häufig URL-Umleitungsmechanismen oder nutzen offene Umleitungen auf legitimen Websites aus.

Diese Erkenntnisse kommen inmitten mehrerer Phishing- und Social-Engineering-Kampagnen, die in den letzten Wochen gemeldet wurden. Dazu gehören die Verwendung der Browser-in-the-Browser-Technik, um scheinbar realistische Browser-Pop-ups zu präsentieren, die Spieler von Counter-Strike 2 dazu verleiten, ihre Steam-Anmeldedaten einzugeben, mit dem wahrscheinlichen Ziel, den Zugang zu diesen Konten gewinnbringend weiterzuverkaufen.

Um die Risiken dieser Angriffe zu mindern, ist es wichtig, dass Organisationen phishing-resistente Authentifizierungsmethoden für Benutzer einführen, Browser verwenden, die bösartige Websites blockieren können, und Netzwerkschutz aktivieren, um zu verhindern, dass Anwendungen oder Benutzer auf bösartige Domains zugreifen.


☕︎ Unterstützen Sie IT BOLTWISE® und treten Sie unserem exklusiven KI-Club bei - für nur 1,99 Euro pro Monat:

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot
EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner
1.958 Bewertungen
EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner
  • NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs
Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs (Foto: DALL-E, IT BOLTWISE)



Folgen Sie aktuellen Beiträge über KI & Robotik auf Twitter, Telegram, Facebook oder LinkedIn!
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.








Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
54 Bewertungen
Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
  • Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
126 Bewertungen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
  • Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
69 Bewertungen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
  • Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
41 Bewertungen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
  • Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten

Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: "Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs".
Stichwörter Credentials Cyber Security Cybersecurity Hacker IT-Sicherheit Malware Microsoft Netzwerksicherheit Pdf Phishing Qr Codes Remote Access Trojans
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!

Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs" für unsere Leser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • Die aktuellen intelligenten Ringe, intelligenten Brillen, intelligenten Uhren oder KI-Smartphones auf Amazon entdecken! (Sponsored)


  • Es werden alle Kommentare moderiert!

    Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

    Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

    Du willst nichts verpassen?

    Du möchtest über ähnliche News und Beiträge wie "Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
    Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs« bei Google Deutschland suchen, bei Bing oder Google News!

    196 Leser gerade online auf IT BOLTWISE®