Phishing mit gefälschten Rechnungen: Gekaperte Mail-Logins werden für erneutes Phishing genutzt
Derzeit nutzen Cyberkriminelle Phishing, um über deutschsprachige E-Mails eine Malware namens Strela Stealer zu verbreiten. Strela Stealer greift Login-Daten von Outlook- und Thunderbird-Konten ab. Die Kriminellen nutzen dann ursprünglich legitime E-Mails mit Rechnungen, die sie ausleiten und an ihre Opfer schicken. Diese Opfer erhalten dann auf den ersten Blick identische E-Mails, bei denen nur die Empfängeradresse sowie der Anhang verändert wurden. Anstatt der Rechnung versenden die Kriminellen gleichnamige .zip-Dateien, die Schadsoftware beinhalten. Unsere Daten auf Basis der gesammelten Meta-Informationen in 32Guards zeigen das Vorgehen der Spam-Akteure sowie markante Merkmale der Phishing-Mails – und wie Sie Ihre E-Mail-Adresse vor Missbrauch schützen können.
Vorsicht vor unerwarteten Rechnungen im Business-Kontext
Seit Oktober 2024 verbreiten sich solche Phishing-E-Mails in großen Mengen, die legitime Absenderadressen aufweisen. Besonders häufig werden Rechnungen als Anhang verwendet, wobei dieser Anhang als .zip-Datei mit gleichem Namen angehängt wird. Was unter anderen Umständen schnell auffallen würde, geht allerdings in der Flut des Working-Day-Spam unter.
Dennoch birgt gerade die Kombination des Wortes „Rechnung“ und einem unbekannten Absender im geschäftlichen Umfeld die Gefahr, dass Anhänge unbedacht geöffnet werden, da viele Angestellte regelmäßig Rechnungen von unbekannten Quellen erhalten.
Dieses Risiko steigt weiter, weil Rechnungen aufgrund ihrer Dringlichkeit und Struktur den Angreifern eine hohe Erfolgsquote bieten. Etwa 43 % der E-Mails enthalten das Wort „Rechnung“ im Dateinamen, und in 95 % der Fälle taucht ein „R“ zusammen mit einer Zahl auf – was auf eine gezielte Taktik der Angreifer hindeutet, um die Glaubwürdigkeit der E-Mail zu erhöhen. Gerade deshalb ist es entscheidend, bei unerwarteten Anhängen besondere Vorsicht walten zu lassen und vor dem Öffnen von Dateien gründliche Prüfungen durchzuführen.
Um ein großes Volumen an E-Mails effizient zu versenden, setzen Angreifer auf Automatisierung. Seit Mitte Oktober konnten wir eine signifikante Anzahl an E-Mails mit verdächtigen Anhängen nachverfolgen. Interessanterweise konzentrieren sich die Versandzeiten auf die typischen Arbeitsstunden unter der Woche. Am Wochenende und nachts sinkt das Phishing-Aufkommen deutlich. Dies erinnert an die sogenannten „Working-Day-Spammer“ und zeigt ein professionelles Vorgehen, bei dem Details wie der Versandzeitpunkt in die automatisierten Prozesse integriert werden, um aufmerksame Empfänger zu täuschen.
Die obenstehende Heatmap zeigt die Anzahl an versendeten Phishing-Mails aus unserem 32Guards-Kundenstamm. Je dunkler die Farbe, desto mehr Mails wurden in diesem Zeitfenster verschickt. Auf der x-Achse ist die Uhrzeit des Tages dargestellt, während die y-Achse die Wochentage anzeigt. Deutlich erkennbar ist, dass die meisten Phishing-Mails am Donnerstag um 14 Uhr versendet wurden, während am Wochenende, besonders in der Nacht, die geringste Anzahl an Phishing-Mails verschickt wurde.
Die (nachgebesserten) Auffälligkeiten der Anhänge
Während der Spamerkennung durch NoSpamProxy analysiert 32Guards die Metadaten von angehängten Archiven, wie etwa .zip-Dateien, gründlich, um auffällige Muster zu identifizieren. In der ersten Analysephase kategorisiert 32Guards vor allem verdächtige Dateitypen. Im aktuellen Fall enthielten die .zip-Archive JavaScript-Dateien mit der Endung .js, in denen die Malware verborgen war. Da JavaScript-Dateien beispielsweise in Outlook auf der Liste blockierter Dateitypen stehen, könnten sie als besonders verdächtig gelten. Ein auffälliger Dateityp allein ist jedoch noch kein eindeutiger Hinweis auf kriminelle Aktivitäten.
Eine weitere Auffälligkeit war die außergewöhnliche Größe der verpackten Rechnungen und JavaScript- Dateien, die eine Größe von bis zu 5 MB erreichten. Diese auffällig großen Dateien sind jedoch seit Anfang Dezember nicht mehr zu beobachten. Stattdessen setzen die Angreifer nun auf deutlich kleinere und gängigere Dateigrößen, was die Erkennung erschwert.
Die Abbildung zeigt auf der X-Achse den Zeitverlauf von Oktober bis Januar und auf der Y-Achse die Größe der versendeten Anhänge mit Schadsoftware. Die Farbe hebt die Größenkategorie der angehängten JavaScript-Dateien hervor. Die anfänglich in riesigen JavaScript-Dateien verpackte Malware findet inzwischen in kleineren JavaScript-Dateien platz.
Neue Phishing-Mails werden in Wellen versendet
Das Vorgehen der Spammer, massenweise Anhänge mit gleichbleibendem Namen zu versenden, erlaubt uns anhand des ersten Auftretens eines bestimmten Dateinamens unterschiedliche Spamwellen zu datieren. Es wird deutlich, dass innerhalb der Empfänger aus dem NoSpamProxy Kundenstamm gestohlene E-Mails in Wellen von unterschiedlicher Dauer und mit unterschiedlich hohen Empfängerzahlen pro E-Mail versendet werden .
Die Grafik zeigt auf der X-Achse den Zeitpunkt, an dem eine Datei das erste Mal gesehen wurde, auf der Y-Achse die Anzahl der Phishing-Empfänger pro einzigartigem Anhang-Namen (Punkte). Die Einfärbung markiert die Dauer, die der entsprechende Anhangsname beobachtet wurde. Die Häufung neuer beobachteter Dateinamen zu bestimmten Zeitpunkten, hier Ende Oktober, Anfang November und Anfang Dezember, verrät, wann die Spammer eine neue Welle an gestohlenen Mails präpariert haben. Die Senkung der Anzahl Empfänger pro neue Mail von Oktober zu November könnte auf eine Anpassung hindeuten, die darauf abzielt, Mechanismen, die Häufigkeitsanalysen für Spamerkennung nutzen, zu umgehen.
Die Analyse der Größe der verpackten JavaScript-Dateien sowie die Anpassung der Versanddauer und des Volumens in den neuen Spam-Wellen deutet auf eine zunehmend raffinierte Taktik hin, die ein hohes Maß an Professionalität vermuten lässt. Diese Vermutung wird durch die Untersuchung der IP-Adressen, von denen die E-Mails verschickt werden, weiter gestützt. Eine Visualisierung dieser IP-Adressen zeigt die typischen Merkmale eines international agierenden Botnets, was auch durch andere technische Analysen der versendeten Malware bestätigt wird.
Ein korrekt gesetzter SPF-Eintrag kann Ihre E-Mail vor Missbrauch schützen
Aufgefallen ist im Kontext der Spamerkennung die große Menge an “fehlerhaft” gesetzten SPF-Einträge. Ein SPF-Eintrag ist ein spezieller DNS-Eintrag, der angibt, welche Server berechtigt sind, E-Mails im Namen einer bestimmten Domäne zu versenden. Wenn eine E-Mail verschickt wird, kann der empfangende Server den SPF-Eintrag überprüfen, um sicherzustellen, dass die E-Mail tatsächlich von einem autorisierten Sender stammt. Ist dies nicht der Fall, kann die E-Mail als verdächtig eingestuft oder abgelehnt werden. In ca. 96% der vorliegenden Fälle von Phishing-Versuchen war auf die Domain des Senders ein SPF-Eintrag mit „+all“ am Ende gesetzt. Dies erlaubt allen IP-Adressen das Versenden von E-Mails im Namen der eingetragenen Domain. Wer verhindern will, dass die eigene Domain für das Versenden von Phishing missbraucht wird, sollte auf einen korrekten SPF-Eintrag achten.
Zusammenfassung und Schutzmaßnahmen
Die wiederkehrende Spam-Welle zeigt, wie wichtig es ist, auf verdächtige E-Mails und Anhänge zu achten. Unternehmen und Privatpersonen sollten regelmäßig ihre E-Mail-Sicherheitsrichtlinien überprüfen und sicherstellen, dass die richtigen Filter aktiv sind, um schadhafte Dateien zu blockieren.
Ein weiterer, wichtiger Schutzmechanismus ist die Schulung von Mitarbeitenden im Umgang mit E-Mails, insbesondere in Bezug auf die Erkennung von Phishing-Versuchen und verdächtigen Anhängen. Jedoch zeigt das oben gezeigte Beispiel, dass die Erkennung mit bloßem Auge schwieriger wird.
Daher empfehlen wir folgende zusätzliche Maßnahmen:
Empfohlene Schutzmaßnahmen
Darüber hinaus empfehlen wir weitere Schutzmaßnahmen, die Sie mit Microsoft-Lösungen umsetzen können.
NoSpamProxy mit 32Guards noch nicht im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
