Microsoft warnt vor ausgefeilter Phishing-Kampagne gegen US-Organisationen

Zusammenfassung

Microsoft hat Organisationen in den Vereinigten Staaten vor einer ausgefeilten Phishing-Kampagne gewarnt, die mit dem Vorwand einer Überprüfung des Verhaltenskodex („code of conduct review") arbeitet. Zwischen dem 14. und 16. April beobachtete der Konzern mehr als 35.000 Zustellversuche. Die betrügerischen E-Mails erreichten Nutzer in rund 13.000 Organisationen in 26 Ländern, doch 92 Prozent der Ziele befanden sich in den USA. Besonders häufig waren Empfänger aus dem Gesundheits- und Biowissenschaftssektor, aus Finanzdienstleistungen, professionellen Dienstleistungen sowie aus der Technologie- und Softwarebranche betroffen. Die Nachrichten geben sich als interne Regulierungs- oder Compliance-Mitteilungen aus und sollen die Empfänger auf eine bösartige Microsoft-Phishing-Website locken. Der entscheidende Schritt des Angriffs setzt auf Adversary-in-the-Middle-Phishing (AitM): Dabei schaltet sich der Angreifer in die laufende Sitzung ein, um Authentifizierungs-Token abzufangen und sich sofortigen Zugriff auf das Zielkonto zu verschaffen. Laut Microsoft umgeht diese Technik im Gegensatz zum klassischen Abgreifen von Zugangsdaten auch nicht phishing-resistente Mehr-Faktor-Authentifizierung (MFA), weil der Authentifizierungsverkehr in Echtzeit abgefangen wird.

Die Tarnung der Kampagne setzt konsequent auf den Anschein interner Regelkonformität. Als Absendernamen verwenden die Angreifer Bezeichnungen wie „Team Conduct Report", „Workforce Communications" oder „Internal Regulatory COC". Auch die Betreffzeilen spielen mit Druck und Dringlichkeit, etwa „Reminder: employer opened a non-compliance case log" (Erinnerung: Arbeitgeber hat einen Vorgang wegen Regelverstoßes angelegt) oder „Internal case log issued under conduct policy" (Interner Vorgang gemäß Verhaltensrichtlinie eröffnet).

Laut Microsoft deutet die Analyse der Versandinfrastruktur darauf hin, dass die Nachrichten über einen legitimen E-Mail-Zustelldienst verschickt wurden und vermutlich von einer in der Cloud gehosteten virtuellen Windows-Maschine stammen. Versendet wurde von mehreren Absenderadressen über Domains, die wahrscheinlich von den Angreifern kontrolliert werden.

Die Empfänger werden aufgefordert, einen personalisierten Anhang zu öffnen, um Fallunterlagen einzusehen. Bei den Anhängen handelt es sich um PDF-Dokumente mit Titeln wie „Awareness Case Log File" oder „Disciplinary Action", die den Nutzer dazu bringen, im Dokument auf den Link „Review Case Materials" zu klicken.

Wer dem Link folgt, landet zunächst auf einer Cloudflare-CAPTCHA-Seite, die nach Einschätzung von Microsoft als Sperre gegen automatisierte Analyse dient. Anschließend wird dem Opfer mitgeteilt, die Dokumente müssten geprüft und unterschrieben werden. Auf einer weiteren Seite soll der Nutzer seine E-Mail-Adresse eingeben, gefolgt von einer zweiten CAPTCHA-Seite. Danach erhält das Opfer die Meldung, die Verifizierung sei erfolgreich abgeschlossen, und wird aufgefordert, sich bei seinem Microsoft-Konto anzumelden.

Genau dieser letzte Schritt bildet den Kern des Angriffs: das Adversary-in-the-Middle-Phishing, bei dem der Angreifer die Sitzung als Vermittler durchleitet, um Authentifizierungs-Token zu erbeuten und unmittelbar Zugriff auf das Konto zu erlangen.

Microsoft hat Unternehmen, die von dieser oder ähnlichen Kampagnen bedroht sind, Empfehlungen zur Abwehr sowie Abfragen für die Bedrohungssuche (Threat-Hunting) und Kompromittierungsindikatoren (IoCs) an die Hand gegeben.

Microsoft warnt vor ausgefeilter Phishing-Kampagne gegen US-Organisationen

Ähnliche Artikel

Neueste Artikel