Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.
Dieser Cybersecurity-Bedrohungshinweis befasst sich mit einer ausgeklügelten Phishing-Kampagne, die ein Microsoft Word-Dokument als Köder benutzt, um dreierlei Bedrohungen zu verbreiten. Bei den Bedrohungen handelt es sich um Agent Tesla, OriginBotnet und RedLine Clipper, die darauf ausgelegt sind, eine breite Palette von Informationen von kompromittierten Windows-Rechnern zu sammeln.
Welcher Art ist die Bedrohung?
Es wurde eine neue raffinierte Phishing-Kampagne entdeckt, die ein Word-Dokument als Anhang übermittelt. Der Anhang enthält ein absichtlich unscharfes Bild und ein gefälschtes reCAPTCHA, damit die Empfänger es anklicken. Sobald das Opfer auf das unscharfe Bild klickt, wendet der Loader eine Strategie zur Umgehung des binären Auffüllens an, die Null-Bytes hinzufügt, um die Dateigröße auf 400 MB zu erhöhen, und beginnt, Informationen vom gehackten Windows-Rechner zu sammeln.
Warum sollte man aufmerksam sein?
Diese Phishing-Kampagne besteht aus einer komplexen Kette von Ereignissen, die mit einem infizierten Word-Dokument beginnt, das über Phishing-E-Mails verbreitet wird und die Opfer dazu bringen, einen Loader herunterzuladen, der eine Reihe von Malware-Payloads ausführt. Dieser Angriff verfügt über ausgeklügelte Techniken, um der Entdeckung zu entgehen und die sich auf kompromittierten Systemen permanent zu halten. OriginBotnet wird für Keylogging und Passwortwiederherstellung, RedLine Clipper für Kryptowährungsdiebstahl und Agent Tesla für die Erfassung vertraulicher Daten verwendet.
Wie hoch ist Risiko einer Exposition?
Aufgrund der ausgefeilten Natur dieser Phishing-Kampagne sind Benutzer einem großen Risiko ausgesetzt, wenn sie die betreffenden E-Mails öffnen, da die Malware Erkennungssysteme umgehen und hartnäckig bleiben kann. Phishing-E-Mails, die einladend aussehen, sind immer ein Risiko. Es ist wichtig, die Benutzer über neu entdeckte Phishing-Kampagnen aufzuklären und sie daran zu erinnern, beim Durchsehen ihrer E-Mails wachsam zu sein.
Welche Empfehlungen haben Sie?
Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen diese Art Phishing-Angriff einzuschränken oder ganz zu verhindern:
- Verwenden Sie Barracuda XDR Endpoint Security, das Verhaltensscans umfasst, um abnormales Datei- und Prozessverhalten schnell zu erkennen und darauf zu reagieren.
- Überprüfen Sie URLs in Ihrem Webfilterdienst, um potenzielle „bösartige“ Bewertungen zu erkennen.
- Führen Sie regelmäßig Schulungen zur Stärkung des Risikobewusstseins durch, um Ihre Mitarbeiter über aktuelle Phishing-Taktiken und deren Erkennung aufzuklären.Schulung zur Stärkung des Risikobewusstseins
- Segmentieren Sie Ihr Netzwerk, um kritische Systeme und Daten aus weniger sicheren Bereichen zu isolieren.
Referenzen
Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
Wenn Sie Fragen zu dieser Cybersecurity Threat Advisory haben, wenden Sie sich bitte an unser Security Operations Center.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
