Nach Darstellung der Forscher erfordert die Kampagne erheblichen Vorlauf: Die Täter wählen ihre Ziele aus, bauen überzeugende Seiten nach und bereiten die nötige Infrastruktur vor. Allein in den vergangenen Monaten registrierte GS7 mehr als 150 schädliche Domains, unter anderem über Registrare wie NameCheap und OwnRegistrar. Den Datenverkehr leitet die Gruppe über Cloudflare, um die dahinterliegenden Server zu verschleiern.
Sobald Anmeldedaten erfasst sind, werden sie sofort an von den Angreifern kontrollierte Telegram-Bots ausgeleitet. Dazu zählen nicht nur Benutzernamen und Passwörter, sondern auch IP-Adressen und Geolokalisierungsdaten, Geräte- und Browser-Fingerabdrücke sowie Zeitstempel. Die Forscher identifizierten eine Telegram-Gruppe mit dem Namen „NfResultz by GS", die ihrer Einschätzung nach von der Gruppe betrieben wird.
GS7 beschränkt sich nicht auf das Abgreifen von Zugangsdaten. Auf den Systemen der Opfer werden zudem RMM-Werkzeuge zur Fernwartung und -überwachung installiert, die Fernzugriff oder das Ausbringen von Schadsoftware ermöglichen. SOCRadar hält es für möglich, dass die Gruppe als sogenannter Initial Access Broker auftritt und Zugänge an Ransomware-Gruppen oder andere Partner verkauft.
In den vergangenen Monaten konzentrierte sich GS7 vor allem auf englischsprachige Märkte, mit den USA als mit Abstand größtem Ziel. Zugleich weitet die Gruppe ihre DoppelBrand-Aktivitäten nach Europa und in weitere Regionen aus. Laut Whitepaper wurden in jüngsten Angriffen Vermögenswerte, Domains und Datensätze von Unternehmen aus sehr unterschiedlichen Branchen und an verschiedenen Standorten festgestellt.
Eine Person, die sich als Mitglied von GS7 ausgab, teilte den Forschern mit, die Gruppe sei seit nahezu einem Jahrzehnt aktiv, und legte als Beleg Screenshots von Phishing-Panels vor, die mit dem Kürzel der Gruppe signiert waren. Dieselbe Person führte zudem eine Phishing-Demonstration mit einem Fidelity nachempfundenen Portal vor; nach dem Ausfüllen des Anmeldeformulars wurden RMM-Werkzeuge heruntergeladen.
Wo die Gruppe ansässig ist, ließen die Forscher offen. Sie deckten jedoch Verbindungen zwischen GS7 und brasilianischen Cybercrime-Foren auf, in denen gestohlene Zugangs- und Finanzdaten gehandelt werden. Diese Orte seien laut Whitepaper zentrale Umschlagplätze, um erbeutete Informationen zu verkaufen oder Daten für weitere Kampagnen zu beschaffen.
Da GS7 über Jahre aktiv blieb und eine umfangreiche Phishing-Infrastruktur aufbaute, ohne dass Sicherheitsforscher dies bemerkten, zeugt der Fall nach Einschätzung von SOCRadar von der anhaltenden Professionalität organisierter Phishing-Operationen. Zum Schutz raten die Forscher dazu, beim Login auf der Website eines Finanzinstituts auf die Echtheit der Seite zu achten, Mehr-Faktor-Authentifizierung einzurichten und sich generell umsichtig im Netz zu verhalten. Zur Unterstützung von Verteidigern stellt SOCRadar in seinem Whitepaper eine umfangreiche Liste von Taktiken, Techniken und Vorgehensweisen (TTPs) sowie Kompromittierungsindikatoren (IoCs) bereit.
