Die Hackergruppe GS7 führt eine umfangreiche Phishing-Kampagne gegen Fortune-500-Unternehmen durch und nutzt dabei täuschend echte Nachbildungen legitimer Websites, um Anmeldedaten zu stehlen.
Eine finanzgetriebene Hackergruppe namens GS7 führt derzeit eine großflächige Phishing-Kampagne gegen Fortune-500-Unternehmen durch. Besonders raffiniert ist dabei die Strategie: Die Kriminellen erstellen gefälschte Websites, die das Branding der Zielunternehmen perfekt imitieren, um Nutzer zur Preisgabe ihrer Anmeldedaten zu bewegen.
Die Kampagne mit dem Namen “Operation DoppelBrand” ist laut einem aktuellen Bericht des Sicherheitsforschungs-Unternehmens SOCRadar bereits seit Dezember bis Januar aktiv. GS7 selbst ist allerdings bereits seit 2022 bekannt. Die Gruppe zielt auf führende Finanzinstitute wie Wells Fargo, USAA, Navy Federal Credit Union, Fidelity Investments und Citibank ab — dazu kommen Technologie-, Gesundheits- und Telekommunikationsunternehmen weltweit.
Der Erfolg von Operation DoppelBrand liegt in einer hochentwickelten Phishing-Infrastruktur, die GS7 kontinuierlich erneuert und mit beispielloser Präzision gestaltet. Dies macht es für Opfer extrem schwierig, den Betrug zu erkennen. Die Angreifer registrierten allein in den letzten Monaten über 150 bösartige Domänen bei Registraren wie NameCheap und OwnRegistrar und leiteten den Traffic über Cloudflare, um ihre Server zu verschleiern.
Gestohlen werden nicht nur Benutzernamen und Passwörter, sondern auch IP-Adressen, Standortdaten, Geräte- und Browser-Fingerabdrücke sowie Zeitstempel. Diese Daten werden unmittelbar an Telegram-Bots der Angreifer übermittelt. SOCRadar identifizierte eine Telegram-Gruppe namens “NfResultz by GS”, die vermutlich von der Gruppe betrieben wird.
GS7 geht es nicht nur um das Sammeln von Zugangsdaten. Die Hacker installieren auch Remote-Management-Tools auf den Systemen der Opfer, um Fernzugriff zu ermöglichen oder Malware einzuschleusen. SOCRadar vermutet sogar, dass GS7 als Initial-Access-Broker fungiert und Zugriff auf Infrastrukturen an Ransomware-Gruppen verkauft.
Die Gruppe konzentriert sich derzeit hauptsächlich auf englischsprachige Märkte, insbesondere die USA. Gleichzeitig expandiert GS7 und intensiviert seine DoppelBrand-Aktivitäten in Europa und anderen Regionen.
Ein angebliches Mitglied von GS7 behauptete gegenüber SOCRadar-Forschern, die Gruppe sei bereits fast ein Jahrzehnt aktiv und legte Screenshots als Beweis vor. Das Ausmaß dieser Operation verdeutlicht die anhaltende Raffinesse organisierter Phishing-Kampagnen.
Obwohl SOCRadar Verbindungen zwischen GS7 und brasilianischen Cybercrime-Foren aufdeckte, wo gestohlene Daten gehandelt werden, ist der genaue Standort der Gruppe unbekannt.
Beschäftigte sollten beim Zugriff auf Finanz-Websites besonders vorsichtig sein. Multifaktor-Authentifizierung (MFA) und sicheres Online-Verhalten sind effektive Schutzmaßnahmen. SOCRadar veröffentlichte umfangreiche Indikatoren und Taktiken zur Erkennung von Operation DoppelBrand.
Quelle: Dark Reading