Die Thread Researcher von TrendMicro haben die Ergebnisse der Analyse einer neuen Phishing-Kampagne namens Heatstroke vorgestellt. Aus der Analyse lässt sich faktisch die gesamte Entwicklung des Phishing nachverfolgen – von der Erstellung klassischer Fake-Domains über Social Engineering bis zu den neusten Steganographie Taktiken (Verstecken oder Einbetten von Daten in ein Bild) .
Einstiege oft über E-Mail-Datenbanken
In einem ersten Schritt werden meist E-Mail-Konten infiziert und die Kontaktdaten sowie private Mail-Datenbanken gestohlen. Im Fokus stehen dabei private Mailadressen von kostenfreien Anbietern, die erfahrungsgemäß auf Servern mit niedrigeren Sicherheitsstufen und kaum verifizierter Spam Filterung gehostet werden. Da viele Nutzer dieses Mailadressen als Verifizierung für Social Media- und E-Commerce-Websites sowie als Backups für Gmail- und Geschäftskonten verwenden, sind sie für Hacker sehr interessant. Über Gmail-Adressen können Hacker Zugriff auf das Google Laufwerk der Nutzer erlangen und im schlimmsten Fall das zugehörige Android-Geräte infiltrieren. Zudem eigenen sich private Mailkonten als Informationsquelle für Cyberkriminelle.
Heatstroke: Meister der Tarnung
Die Spezialisten von TrendMicro haben die Heatstroke Kampagne als „Meister der Tarnung“ eingestuft. Sie läuft mehrstufig ab und ist deshalb nur schwierig zu identifizieren. Die Hacker haben ein großes Zeitfenster und mehrere Domains für ihre Angriffe eingerichtet. Sie versuchen, die Opfer in Sicherheit zu wiegen, indem sie auch Abwehrmaßnahmen gegen Angriffe nachahmen. Die infizierten Daten werden häufig als Bilder in Mail-Anhänge gepackt.
Die Landingpage scheint aus dem Land des Opfers zu stammen und seriös zu sein. Bei Tests wurden sogar existierende Domainadressen von unternehmen gefunden, die aber zum Verkauf standen.
Die Inhalte des Phishing Kits werden immer nur weitergeleitet und wechseln ständig die Landingpage, damit eine Identifizierung erschwert wird. Zudem erstellt das Kit eine Art Blacklist, um den Nutzern der Seite eine Fehlermeldung oder weitergeleitete( falsche) Inhalte anzuzeigen. Zudem kann das Kit Blockaden für IP-Bereiche, Crawling-Dienste und sogar Sicherheitstools wie Schwachstellenscanner einrichten.
Heatstroke mit Modifikationen
Heatstroke wurde bereits weiterverkauft und wird nachweislich von weiteren Hackergruppen verwendet. Es wurden bereits ähnliche Kits identifiziert, die Ihre Angriffe gegen Amazon-Kunden und Paypal-Nutzer richten und scheinbar aus einer Quelle stammen. Experten sind besorgt über die Wandlungsfähigkeit des Kits und arbeiten an Gegenmaßnahmen, um eine globale Ausweitung einzudämmen.