Hacker nutzen neuen Trick für Phishing-Angriffe

Dabei handelt es sich um ein digitales Notizbuch mit der Endung .one, das Teil von Microsoft 365  ist. Für die Cybersecurity-Experten ist es ungewöhnlich, dass OneNote-Dokumente auf diese Weise missbraucht werden. Der einfache Grund, warum Angreifer mit den OneNote-Dokument experimentieren: Sie umgehen die Erkennung von Bedrohungen leichter als andere Anhänge. Und es scheint zu funktionieren.

„Basierend auf Daten in Open-Source-Malware-Repositories wurden die ursprünglich beobachteten Anhänge von mehreren Anti-Virus-Engines nicht als bösartig erkannt. Daher ist es wahrscheinlich, dass die anfänglichen Kampagnen eine hohe Wirksamkeitsrate hatten, wenn die E-Mail nicht blockiert wurde“, so Proofpoint.

Hacker experimentieren mit neue Methoden

Seit Microsoft 2022 damit begonnen hat, Makros standardmäßig zu blockieren, haben Hacker mit vielen neuen Taktiken, Techniken und Verfahren (TTPs) experimentiert, einschließlich der Verwendung von seltenen Dateitypen wie virtuelle Festplatten (VHD), kompiliertes HTML (CHM) und jetzt OneNote (.one).

Die Phishing-E-Mails, die erstmals im Dezember 2022 verschickt wurden und deren Zahl im Januar 2023 deutlich anstieg, versuchen Malware zu übermitteln, darunter AsyncRAT, Redline, AgentTesla und Doubleback. Sie zielen alle darauf ab, sensible Informationen zu stehlen, darunter Benutzernamen und Passwörter.

Die Forscher von Proofpoint stellen außerdem fest, dass eine cyberkriminelle Gruppe, die sie als TA577 bezeichnen, ebenfalls damit begonnen hat, OneNote in Kampagnen zu nutzen, um Qbot zu verbreiten. Anstatt Informationen zu stehlen, um sie selbst zu nutzen, agiert TA577 als anfänglicher Zugangsvermittler und verkauft gestohlene Benutzernamen und Passwörter an andere Cyberkriminelle, einschließlich Ransomware-Banden.

Phishing-E-Mails auf Maschinenbaue zugeschnitten

Bisher wurden über 60 dieser Kampagnen aufgedeckt, die alle ähnliche Merkmale aufweisen. Die E-Mails und Dateianhänge sind mit Rechnungen, Überweisungen, Versand und saisonalen Themen, wie zum Beispiel Informationen über Weihnachtsgeld, verknüpft. Eine Phishing-Nachricht, die an Zielpersonen im Fertigungs- und Industriesektor verschickt wurde, enthielt beispielsweise Namen von Anhängen, die sich auf Maschinenteile und -spezifikationen bezogen, was darauf hindeutet, dass ein hohes Maß an Recherche in die digitalen Köder gesteckt wurde.

Andere OneNote-Kampagnen sind etwas allgemeiner gehalten und werden an Tausende von potenziellen Opfern gleichzeitig verschickt. Eine dieser Kampagnen zielte mit gefälschten Rechnungen auf den Bildungssektor ab, während eine andere weiter verbreitet war und vorgab, Tausenden von potenziellen Opfern ein Weihnachtsgeschenk oder einen Bonus anzubieten.

Forscher gehen von hoher Erfolgsquote aus

In jedem Fall beruht der Phishing-Angriff darauf, dass das Opfer die E-Mail und den OneNote-Anhang öffnet und auf die bösartigen Links klickt. OneNote bietet zwar eine Warnmeldung über verdächtige Links an, aber Benutzer, die eine speziell gestaltete E-Mail erhalten haben, die sie direkt anspricht – oder die glauben, dass sie einen Bonus erhalten – könnten versuchen, diese Warnung zu umgehen.

Die Forscher warnen, dass diese Kampagnen wahrscheinlich eine hohe Erfolgsquote haben, wenn die E-Mails nicht blockiert werden, und dass mehr Cyber-Bedrohungsgruppen diese Technik wahrscheinlich übernehmen werden, um Phishing- und Malware-Kampagnen erfolgreich durchzuführen.