Microsoft warnt vor neuen Phishing-Angriffen mit QR-Codes und PDFs

MÜNCHEN (IT BOLTWISE) – Microsoft hat kürzlich vor einer Reihe von Phishing-Kampagnen gewarnt, die sich steuerbezogene Themen zunutze machen, um Malware zu verbreiten und Anmeldedaten zu stehlen.

Microsoft hat eine Warnung vor mehreren Phishing-Kampagnen herausgegeben, die steuerbezogene Themen nutzen, um Malware zu verbreiten und Anmeldedaten zu stehlen. Diese Kampagnen verwenden Umleitungsmethoden wie URL-Shortener und QR-Codes in bösartigen Anhängen und missbrauchen legitime Dienste wie File-Hosting-Services und Geschäftsprofilseiten, um der Entdeckung zu entgehen.

Ein bemerkenswerter Aspekt dieser Kampagnen ist, dass sie zu Phishing-Seiten führen, die über eine Phishing-as-a-Service (PhaaS)-Plattform namens RaccoonO365 bereitgestellt werden. Diese Plattform wurde erstmals im Dezember 2024 bekannt. Zusätzlich werden Remote-Access-Trojaner (RATs) wie Remcos RAT sowie andere Malware und Post-Exploitation-Frameworks wie Latrodectus, AHKBot, GuLoader und BruteRatel C4 (BRc4) ausgeliefert.

Eine solche Kampagne, die von Microsoft am 6. Februar 2025 entdeckt wurde, soll Hunderte von E-Mails an die USA gesendet haben, um BRc4 und Latrodectus zu verbreiten. Diese Aktivitäten wurden Storm-0249 zugeschrieben, einem Initial-Access-Broker, der zuvor für die Verbreitung von BazaLoader, IcedID, Bumblebee und Emotet bekannt war.

Die Angriffe beinhalten die Verwendung von PDF-Anhängen, die einen Link enthalten, der Benutzer zu einer über Rebrandly verkürzten URL weiterleitet und sie letztendlich zu einer gefälschten Docusign-Seite führt. Dort haben sie die Möglichkeit, das Dokument anzuzeigen oder herunterzuladen. Wenn Benutzer auf die Schaltfläche ‘Download’ auf der Zielseite klicken, hängt das Ergebnis davon ab, ob ihr System und ihre IP-Adresse gemäß den vom Bedrohungsakteur festgelegten Filterregeln auf die nächste Stufe zugreifen dürfen.

Wenn der Zugriff erlaubt ist, wird dem Benutzer eine JavaScript-Datei gesendet, die anschließend einen Microsoft Software Installer (MSI) für BRc4 herunterlädt, der als Kanal für die Bereitstellung von Latrodectus dient. Wenn das Opfer nicht als wertvolles Ziel angesehen wird, erhält es ein harmloses PDF-Dokument von royalegroupnyc[.]com.

Microsoft entdeckte auch eine zweite Kampagne zwischen dem 12. und 28. Februar 2025, bei der steuerbezogene Phishing-E-Mails an mehr als 2.300 Organisationen in den USA gesendet wurden, insbesondere an die Bereiche Ingenieurwesen, IT und Beratung. Die E-Mails enthielten keinen Inhalt im Nachrichtentext, sondern einen PDF-Anhang mit einem QR-Code, der auf einen Link zur RaccoonO365 PhaaS verwies, der Microsoft 365-Anmeldeseiten nachahmt, um Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.

Diese Kampagnen kommen in verschiedenen Formen vor, wobei steuerbezogene Phishing-E-Mails auch andere Malware-Familien wie AHKBot und GuLoader verbreiten. AHKBot-Infektionsketten leiten Benutzer zu Websites, die eine bösartige Microsoft Excel-Datei hosten, die beim Öffnen und Aktivieren von Makros eine MSI-Datei herunterlädt und ausführt, um ein AutoHotKey-Skript zu starten, das dann ein Screenshotter-Modul herunterlädt, um Screenshots vom kompromittierten Host aufzunehmen und an einen Remote-Server zu exfiltrieren.

Die GuLoader-Kampagne zielt darauf ab, Benutzer dazu zu verleiten, auf eine URL in einem PDF-E-Mail-Anhang zu klicken, was zum Herunterladen einer ZIP-Datei führt. Die ZIP-Datei enthält verschiedene .lnk-Dateien, die so eingerichtet sind, dass sie Steuerdokumente nachahmen. Wenn sie vom Benutzer gestartet werden, verwendet die .lnk-Datei PowerShell, um ein PDF und eine .bat-Datei herunterzuladen. Die .bat-Datei lädt wiederum die GuLoader-Executable herunter, die dann Remcos installiert.

Diese Entwicklungen folgen auf eine Warnung von Microsoft vor einer weiteren Storm-0249-Kampagne, die Benutzer zu gefälschten Websites umleitete, die Windows 11 Pro bewerben, um eine aktualisierte Version der Latrodectus-Loader-Malware über das BruteRatel-Red-Teaming-Tool bereitzustellen. Der Bedrohungsakteur nutzte wahrscheinlich Facebook, um den Verkehr zu den gefälschten Windows 11 Pro-Download-Seiten zu lenken, da in mehreren Fällen Facebook-Referrer-URLs beobachtet wurden.

Latrodectus 1.9, die neueste Entwicklung der Malware, die erstmals im Februar 2025 beobachtet wurde, führte die geplante Aufgabe zur Persistenz wieder ein und fügte Befehl 23 hinzu, der die Ausführung von Windows-Befehlen über ‘cmd.exe /c’ ermöglicht. Diese Enthüllungen folgen auf eine Zunahme von Kampagnen, die QR-Codes in Phishing-Dokumenten verwenden, um bösartige URLs zu verschleiern, als Teil weit verbreiteter Angriffe, die auf Europa und die USA abzielen und zum Diebstahl von Anmeldedaten führen.

Die Analyse der aus den QR-Codes extrahierten URLs in diesen Kampagnen zeigt, dass Angreifer typischerweise vermeiden, URLs einzuschließen, die direkt auf die Phishing-Domain verweisen. Stattdessen verwenden sie häufig URL-Umleitungsmechanismen oder nutzen offene Umleitungen auf legitimen Websites aus.

Diese Erkenntnisse kommen inmitten mehrerer Phishing- und Social-Engineering-Kampagnen, die in den letzten Wochen gemeldet wurden. Dazu gehören die Verwendung der Browser-in-the-Browser-Technik, um scheinbar realistische Browser-Pop-ups zu präsentieren, die Spieler von Counter-Strike 2 dazu verleiten, ihre Steam-Anmeldedaten einzugeben, mit dem wahrscheinlichen Ziel, den Zugang zu diesen Konten gewinnbringend weiterzuverkaufen.

Um die Risiken dieser Angriffe zu mindern, ist es wichtig, dass Organisationen phishing-resistente Authentifizierungsmethoden für Benutzer einführen, Browser verwenden, die bösartige Websites blockieren können, und Netzwerkschutz aktivieren, um zu verhindern, dass Anwendungen oder Benutzer auf bösartige Domains zugreifen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!