Cofense beschreibt eine Entwicklung weg von klassischen „Spray-and-Pray“-Phishing-Angriffen hin zu Kampagnen, die deutlich präziser arbeiten. Während ältere Phishing-Mails laut Max Gannon oft aus einfachen Nachrichten mit simplen Infektionsketten bestanden, die sichere E-Mail-Gateways umgehen sollten, seien moderne Kampagnen stärker auf einzelne Zielpersonen und deren Arbeitsumfeld zugeschnitten. Als Beispiel nennt der Bericht Rechnungen für Geschäftsverantwortliche als thematisch passende Köder.
Die technische Anpassung beginnt laut Cofense häufig erst nach dem Klick. In diesem Stadium erfassen Anhang oder Landingpage Informationen aus dem User-Agent des Browsers. Dieser Datensatz erlaubt nach Angaben von Cofense ein Fingerprinting des Opfers. Erfasst werden können demnach E-Mail-Adressen, Browserinformationen, Geräteinformationen, Sprache, lokale Zeit des Opfers, Bildschirm- und Fenstergröße sowie Geolokation.
Als zunehmend verbreitete Methode nennt Cofense ein User-Agent-Blocking über Cloudflare. Der Forschungsbeitrag beschreibt dies so, dass Datenverkehr auf Basis des vermuteten Betriebssystems des Browsers umgeleitet wird, noch bevor das Opfer die schädliche Seite erreicht. Dadurch könnten Angreifer angepasste Schadlasten ausliefern, ohne eigene Erkennungsskripte einbauen zu müssen.
Wofür diese Daten genutzt werden, zeigt Cofense an einem konkreten Beispiel: Eine Phishing-Landingpage lieferte FleetDeck für macOS oder Tiflux RAT für Windows aus – abhängig davon, was die Angreifer beim Fingerprinting erkannt hatten. Ein großer Teil der in plattformübergreifenden Kampagnen beobachteten Schadprogramme bestehe aus technisch legitimen Fernzugriffswerkzeugen, die zu Remote-Access-Trojanern umfunktioniert wurden. Laut Cofense sind solche Werkzeuge für automatisierte Abwehrsysteme deutlich schwerer zu erkennen.
Gannon schreibt außerdem, dass Angreifer zunehmend Werkzeuge wie Telegram verwenden, um erfasste Informationen häufiger zu exfiltrieren und zu speichern. Plattformbewusste Taktiken beschränken sich dabei nicht auf die Schadsoftware selbst. Auch die Täuschung werde dynamisch angepasst: Phishing-Landingpages entscheiden laut Cofense anhand der aus dem Browser gewonnenen Telemetrie, ob sie Download-Seiten von Google, Docusign, Microsoft Teams, Adobe oder Zoom nachahmen.
Für die Ursache dieser Entwicklung verweist der Text auf mehrere Faktoren. Große Sprachmodelle erleichterten es Angreifern weltweit, in kürzester Zeit Phishing-Mails in fehlerfreiem Englisch zu erzeugen. Phishing-Kits gäben auch weniger versierten Akteuren die Möglichkeit zu Angriffen, die sie sonst nicht umsetzen könnten. Hinzu kämen neue Social-Engineering-Methoden wie ClickFix.
Den Kern dieser neuen plattformbewussten Techniken sieht Gannon jedoch vor allem in der besseren Ökonomie für die Täter. Wenn eine Kampagne das Gerät eines Opfers erkennt und die wirksamste Schadlast für diese Umgebung ausliefert, könnten Angreifer mehr Ziele erreichen, die Wahrscheinlichkeit einer Kompromittierung erhöhen und aus jeder Interaktion nützlichere Informationen gewinnen. Anstatt Zugriffe von Nutzern auf macOS, Android oder anderen nicht unterstützten Plattformen zu verlieren, könnten sie Klicks weiter verwerten – etwa für den Diebstahl von Zugangsdaten oder für angepasste Fernzugriffswerkzeuge.
Gegenüber Dark Reading formuliert Gannon daraus eine zentrale Empfehlung für Sicherheitsverantwortliche: Sie sollten die Transparenzlücke zwischen Plattformen schließen und die Überwachung über Windows, Mac und Mobilgeräte hinweg vereinheitlichen, damit Aktivitäten als zusammenhängende Kampagne sichtbar werden. Ebenso wichtig sei Einblick in das, was nach dem Klick geschieht – also in Umleitungsketten und gerätespezifische Auslieferungslogik – statt sich ausschließlich auf das Blockieren der ersten E-Mail zu verlassen. Beschäftigte sollten Unternehmen zudem als primären Sensor betrachten, nicht erst als letzte Verteidigungslinie, weil geschulte Mitarbeiter eher bemerken, wenn ein unerwartetes Fernzugriffswerkzeug fehl am Platz ist.
