Die Kampagne gibt sich als Helpdesk-Software aus, um zu versuchen, Anmeldedaten aus der Enterprise Cloud zu stehlen.
Eine neue Phishing-Kampagne, die sich als Helpdesk-Software ausgibt, um zu versuchen, Anmeldedaten von Cloud-Diensten wie Microsoft Azure, Microsoft Dynamics und IBM Cloud zu stehlen, wurde in freier Wildbahn beobachtet.
Wie BleepingComputer berichtete, analysierte der Nachrichtensender kürzlich Phishing-Nachrichten aus der Kampagne und stellte fest, dass sie ähnliche Formulierungen wie echte IT-Helpdesk-Dienste verwenden und dabei vorgeben, von einer Website namens „servicedesk.com“ zu stammen.
Die in der Kampagne verwendeten E-Mails imitieren eine „Quarantänemail“-Benachrichtigung, die von Sicherheitsprodukten und Spam-Filtern verschickt wird und den Empfänger auffordert, in der Warteschlange festsitzende Nachrichten „freizugeben“. Während die in der E-Mail aufgeführte Adresse den Anschein erweckt, die Nachricht stamme von „[email protected]“, schickten die Angreifer ihre Phishing-Nachrichten tatsächlich über „cn.trackhawk.pro“, das als Zwischendomäne diente.
In dem Bestreben, E-Mail-Filter leichter zu umgehen, wird die Service-Desk-Domäne sowohl im Absender- als auch im Empfänger-Header der Phishing-E-Mails der Kampagne verwendet. Das bedeutet, dass die Angreifer entweder die Mailserver von servicedesk.com kompromittierten oder den Text „Received: form servicedesk.com“ in den Header einfügten, um glaubwürdiger zu wirken.
Cloud-Dienste für Unternehmen
Die Cyberkriminellen, die hinter dieser neuen Phishing-Kampagne stehen, nutzten IBM Cloud Hosting, Microsoft Azure und Microsoft Dynamics, um ihre Landing Pages zu hosten, um sie legitimer erscheinen zu lassen. Zusätzlich erhalten Domains, die auf Azure oder IBM Cloud gehostet werden, auch kostenlose SSL-Zertifikate mit den Namen dieser Unternehmen, was ebenfalls dazu beiträgt, die Legitimität der Kampagne zu verbessern.
Nach dem Öffnen einer dieser Phishing-E-Mails sieht ein Benutzer zwei Schaltflächen mit der Aufschrift „MELDUNGEN FREIGABEN“ und „CLEAN-UP CLOUD“. Wenn ein Benutzer auf eine dieser Schaltflächen klickt, wird er zu einer legitimen Microsoft Dynamics 365-URL weitergeleitet. Diese URL leitet ihn dann zu einer IBM Cloud-Domäne um, die zum Hosten der Phishing-Landingpage verwendet wird.
Wenn ein Benutzer ein schwaches Kennwort eingibt, erhält er auf der Landing Page den Fehler „Falsches Kennwort! Wenn ein Benutzer jedoch ein langes und komplexes Passwort eingibt, wird er auf eine andere gefälschte Seite umgeleitet, auf der bestätigt wird, dass die Einstellungen auf der Hosting-Domäne von Azure, windows.net, aktualisiert werden. Diese bösartige Seite leitet den Benutzer dann auf eine Website namens „axsharma.com“ um.
Diese neue Phishing-Kampagne ist besonders gefährlich, da sich ein Angreifer Zugang zum Unternehmensnetzwerk seiner Organisation verschaffen kann, sobald ein Benutzer seine Cloud-Anmeldedaten preisgibt.
