Barracuda full logo

E-Mail-Bedrohungsradar – April 2025

Themen:
29. Apr.. 2025
|

Im vergangenen Monat haben die Bedrohungsanalysten von Barracuda mehrere bemerkenswerte, E-Mail-basierte Bedrohungen identifiziert, die weltweit Organisationen ins Visier nehmen und darauf abzielen, die Erkennung zu umgehen und die Erfolgsaussichten zu erhöhen, darunter:

  • E-Mail-Angriffe zielen mit schädlichen Kalendereinladungen auf Opfer ab
  • Phishing-Kits missbrauchen eine vertrauenswürdige Filesharing-Plattform
  • Voicemail-Phishing kehrt nach mehreren Monaten des Rückgangs zurück

Bösartige Kalendereinladungen sind eine weitere E-Mail-Falle für Opfer

Momentaufnahme der Bedrohung

Die Barracuda-Bedrohungsanalysten haben das Sneaky 2FA-Phishing-Kit entdeckt, das vergiftete Kalendereinladungen in einem Angriff auf den Diebstahl von Zugangsdaten verteilt.

ICS (iCalendar)-Anhänge funktionieren auf verschiedenen Plattformen wie Google Calendar, Microsoft Outlook und Apple Calendar. Diese Kompatibilität macht ICS-Dateien (.ics) zu einem beliebten Instrument für die Planung von Veranstaltungen, Besprechungen und Terminen zwischen Unternehmen. Sie sind besonders nützlich für virtuelle Meetings, da sie URLs für Videoanrufe oder verwandte Dokumente enthalten können.

Bei dem Angriff, der von den Barracuda-Bedrohungsanalysten beobachtet wurde, ist der E-Mail-Text leer und enthält lediglich einen Link zu einer ICS-Datei, die wie eine legitime Kalendereinladung aussieht. Die Datei enthält einige Ereignisdetails sowie einen Phishing-Link, der den Empfänger angeblich zu einer unbezahlten Rechnung führt.

Beispiel einer bösartigen Kalendereinladung
Wenn der Empfänger die Einladung öffnet, wird ein Link angezeigt, der auf die legitime Monday-Plattform verweist, auf der der Phishing-Inhalt gehostet wird. 
Beispielcode aus einer bösartigen Kalendereinladung
Das Opfer erhält eine CAPTCHA-Bestätigung und muss auf „Dokument anzeigen“ klicken, wodurch es auf eine Phishing-Seite weitergeleitet wird, die darauf ausgelegt ist, seine Microsoft-Zugangsdaten zu stehlen. 
Beispiel für eine Phishing-Seite

Anzeichen, auf die Sie achten sollten

  • Jede der folgenden Möglichkeiten sollte Alarm schlagen: eine Einladung zu einem Meeting, die Sie nicht erwarten, von jemandem, den Sie nicht kennen oder von dem Sie nicht oft hören, um etwas zu besprechen, dessen Sie sich nicht bewusst sind, und ohne Kontext oder Begleitbotschaft. Melden Sie die Nachricht an Ihr Sicherheitsteam und wenden Sie sich gegebenenfalls direkt an den Absender, um zu überprüfen, ob die Nachricht legitim ist.
  • Die Verwendung von Kalendereinladungen bei Phishing-Angriffen nimmt zu. Es gibt mehrere Berichte über gefälschte Google-Kalendereinladungen in Phishing-Kampagnen.  
  • Da ICS-Dateien oft als harmlos gelten und nicht alle Sicherheitstools bösartige Einladungen erkennen können, stellt dies für Angreifer zumindest vorübergehend eine neue Möglichkeit dar, Sicherheitskontrollen zu umgehen und Opfer in die Falle zu locken.

Phishing-Kits missbrauchen ShareFile, um Hunderte von Angriffen zu starten

Momentaufnahme der Bedrohung

Die Bedrohungsanalysten von Barracuda haben mehrere hundert Angriffe durch berüchtigte Phishing-Kits entdeckt, die die legitime ShareFile-Plattform zum Teilen von Dokumenten ausnutzen.

Die Kits hosten gefälschte Anmeldeformulare auf ShareFile und senden ShareFile-URLs an potenzielle Opfer.

Es ist nicht das erste Mal, dass die Barracuda-Bedrohungsanalysten Phishing-Inhalte auf ShareFile finden, aber ihre Verwendung durch bekannte Phishing-as-a-Service (PhaaS)-Plattformen ist eine neue Entwicklung. Diese Taktik scheint die jüngste in einer langen Reihe von Anpassungen durch PhaaS-Gruppen zu sein, um der Entdeckung zu entgehen, die Tarnung zu erhöhen und das Überleben von Phishing-Kampagnen zu sichern.

Die Kits, die Inhalte auf ShareFile hosten, sind die fortschrittlichen und sich schnell weiterentwickelnden Tycoon 2FA und Mamba 2FA. Barracuda hat kürzlich berichtet über das Verhalten von Tycoon 2FA und anderen aufstrebenden PhaaS-Plattformen. Mamba 2FA verfolgt einen ähnlichen Ansatz.

Mamba 2FA – ein weiteres PhaaS-„Most Wanted“

Mamba 2FA zielt auf Microsoft 365-Benutzer ab und kann Einmalkennwörter und Authentifizierungscookies abfangen, um die Multifaktor-Authentifizierung zu umgehen. 

Zu den Umgehungstechniken gehören die Verwendung von Proxy-Servern und kurzlebigen, rotierenden Phishing-Links, mit deren Hilfe die Blockierung umgangen werden kann, HTML-Anhänge mit Junk-Inhalten, um die Erkennung durch Security-Tools zu vermeiden, und die Sandbox-Erkennung, die unerwünschten Datenverkehr wie z. B. Sicherheitsscanner-Tools auf eine nicht zugehörige Website wie die 404-Webseiten von Google leitet.

Die ShareFile-Angriffsmethode

Die Phishing-E-Mails geben sich in der Regel als SharePoint oder DocuSign aus und enthalten eine Filesharing-Benachrichtigung und einen Link, der sie zu einem gefälschten Dokument führt, das auf ShareFile gehostet wird. 

Beispiel für einen ShareFile-Angriff

Da die E-Mail eine legitime ShareFile-URL enthält, weist die Nachricht keine Sicherheitsbedenken auf. Und da die Empfänger die Plattform kennen und ihr vertrauen, ist es auch wahrscheinlicher, dass sie auf den Link klicken und die angeforderten Anmeldedaten eingeben.

Anzeichen, auf die Sie achten sollten

  • Wie oben beschrieben, sollte eine E-Mail, die Sie nicht erwarten, von jemandem, von dem Sie nicht oft hören, und zu einem Thema, das für Sie nicht üblich ist, die Alarmglocken läuten lassen.
  • Das Gleiche gilt für eine E-Mail von ShareFile, wenn Ihr Unternehmen ShareFile im Allgemeinen nicht verwendet.
  • Melden Sie die Nachricht an Ihr Sicherheitsteam und wenden Sie sich gegebenenfalls direkt an den Absender, um zu überprüfen, ob die Nachricht legitim ist.
  • Wenn die E-Mail einen Link enthält, der Sie zu einer Microsoft- oder Google-Anmeldeseite führt, überprüfen Sie, ob es sich um eine legitime Anmeldeseite handelt. Geben Sie Ihre Zugangsdaten nicht ein, wenn Sie den Verdacht haben, dass die Seite gefälscht oder bösartig sein könnte.

Phishing über Voicemail-Formulare nimmt wieder zu

Momentaufnahme der Bedrohung

Seit Februar beobachten die Bedrohungsanalysten von Barracuda nach einer Phase des Rückgangs einen Anstieg der Erkennung von E-Mail-Phishing-Angriffen auf Voicemail-Basis. Die Angriffe geben sich als Voicemail-Benachrichtigungen aus. Wenn der Empfänger auf den Link zum Abspielen der Nachricht klickt, wird er zu einem Online-Formular weitergeleitet, das auf legitimen Plattformen wie Monday und Zoho gehostet wird, und muss dort seine Zugangsdaten eingeben.

Beispiel für Phishing auf Voicemail-Basis

Andere kürzlich entdeckte Vishing-Angriffe betrafen Mamba 2FA und Tycoon 2FA, von denen einer die professionelle Social-Media-Plattform LinkedIn als Teil der URL-Weiterleitung nutzte.

Anzeichen, auf die Sie achten sollten

  • Wie oben beschrieben, sollte die Warnleuchte aufleuchten, wenn der Absender, die Art und der behauptete Inhalt der Nachricht unerwartet oder unaufgefordert sind. Überprüfen Sie immer die Quelle, wenn sie wirklich echt zu sein scheint.
  • Ein weiteres Warnzeichen ist jeglicher Druck, schnell zu handeln oder zu reagieren, oder jede Art von Bedrohung.

Wie Barracuda Email Protection Ihrem Unternehmen helfen kann

Barracuda Email Protection bietet eine umfassende Suite von Funktionen, die zum Schutz vor fortschrittlichen E-Mail-Bedrohungen entwickelt wurden.

Es umfasst Funktionen wie Email Gateway Defense, das vor Phishing und Malware schützt, und Impersonation Protection, das vor Social-Engineering-Angriffen schützt.

Darüber hinaus bietet es Incident Response und Domain-Fraud-Vorbeugung, um die Risiken im Zusammenhang mit kompromittierten Konten und betrügerischen Domains zu mindern. Der Service umfasst auch Cloud-to-Cloud Backup und Schulung zur Stärkung des Risikobewusstseins, um die allgemeine E-Mail-Sicherheitslage zu verbessern.

Barracuda kombiniert künstliche Intelligenz und weitreichende Integration mit Microsoft 365 in einer umfassenden, Cloud-basierten Lösung zum Schutz vor potenziell verheerenden, hochgradig zielgerichteten Phishing- und Identitätsmissbrauchsangriffen.

Weitere Informationen finden Sie hier.

Erhalten Sie vollständige KI-gestützte E-Mail-Sicherheit
Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.