Im vergangenen Monat haben die Bedrohungsanalysten von Barracuda mehrere bemerkenswerte, E-Mail-basierte Bedrohungen identifiziert, die weltweit Organisationen ins Visier nehmen und darauf abzielen, die Erkennung zu umgehen und die Erfolgsaussichten zu erhöhen, darunter:
- E-Mail-Angriffe zielen mit schädlichen Kalendereinladungen auf Opfer ab
- Phishing-Kits missbrauchen eine vertrauenswürdige Filesharing-Plattform
- Voicemail-Phishing kehrt nach mehreren Monaten des Rückgangs zurück
Bösartige Kalendereinladungen sind eine weitere E-Mail-Falle für Opfer
Momentaufnahme der Bedrohung
Die Barracuda-Bedrohungsanalysten haben das Sneaky 2FA-Phishing-Kit entdeckt, das vergiftete Kalendereinladungen in einem Angriff auf den Diebstahl von Zugangsdaten verteilt.
ICS (iCalendar)-Anhänge funktionieren auf verschiedenen Plattformen wie Google Calendar, Microsoft Outlook und Apple Calendar. Diese Kompatibilität macht ICS-Dateien (.ics) zu einem beliebten Instrument für die Planung von Veranstaltungen, Besprechungen und Terminen zwischen Unternehmen. Sie sind besonders nützlich für virtuelle Meetings, da sie URLs für Videoanrufe oder verwandte Dokumente enthalten können.
Bei dem Angriff, der von den Barracuda-Bedrohungsanalysten beobachtet wurde, ist der E-Mail-Text leer und enthält lediglich einen Link zu einer ICS-Datei, die wie eine legitime Kalendereinladung aussieht. Die Datei enthält einige Ereignisdetails sowie einen Phishing-Link, der den Empfänger angeblich zu einer unbezahlten Rechnung führt.



Anzeichen, auf die Sie achten sollten
- Jede der folgenden Möglichkeiten sollte Alarm schlagen: eine Einladung zu einem Meeting, die Sie nicht erwarten, von jemandem, den Sie nicht kennen oder von dem Sie nicht oft hören, um etwas zu besprechen, dessen Sie sich nicht bewusst sind, und ohne Kontext oder Begleitbotschaft. Melden Sie die Nachricht an Ihr Sicherheitsteam und wenden Sie sich gegebenenfalls direkt an den Absender, um zu überprüfen, ob die Nachricht legitim ist.
- Die Verwendung von Kalendereinladungen bei Phishing-Angriffen nimmt zu. Es gibt mehrere Berichte über gefälschte Google-Kalendereinladungen in Phishing-Kampagnen.
- Da ICS-Dateien oft als harmlos gelten und nicht alle Sicherheitstools bösartige Einladungen erkennen können, stellt dies für Angreifer zumindest vorübergehend eine neue Möglichkeit dar, Sicherheitskontrollen zu umgehen und Opfer in die Falle zu locken.
Phishing-Kits missbrauchen ShareFile, um Hunderte von Angriffen zu starten
Momentaufnahme der Bedrohung
Die Bedrohungsanalysten von Barracuda haben mehrere hundert Angriffe durch berüchtigte Phishing-Kits entdeckt, die die legitime ShareFile-Plattform zum Teilen von Dokumenten ausnutzen.
Die Kits hosten gefälschte Anmeldeformulare auf ShareFile und senden ShareFile-URLs an potenzielle Opfer.
Es ist nicht das erste Mal, dass die Barracuda-Bedrohungsanalysten Phishing-Inhalte auf ShareFile finden, aber ihre Verwendung durch bekannte Phishing-as-a-Service (PhaaS)-Plattformen ist eine neue Entwicklung. Diese Taktik scheint die jüngste in einer langen Reihe von Anpassungen durch PhaaS-Gruppen zu sein, um der Entdeckung zu entgehen, die Tarnung zu erhöhen und das Überleben von Phishing-Kampagnen zu sichern.
Die Kits, die Inhalte auf ShareFile hosten, sind die fortschrittlichen und sich schnell weiterentwickelnden Tycoon 2FA und Mamba 2FA. Barracuda hat kürzlich berichtet über das Verhalten von Tycoon 2FA und anderen aufstrebenden PhaaS-Plattformen. Mamba 2FA verfolgt einen ähnlichen Ansatz.
Mamba 2FA – ein weiteres PhaaS-„Most Wanted“
Mamba 2FA zielt auf Microsoft 365-Benutzer ab und kann Einmalkennwörter und Authentifizierungscookies abfangen, um die Multifaktor-Authentifizierung zu umgehen.
Zu den Umgehungstechniken gehören die Verwendung von Proxy-Servern und kurzlebigen, rotierenden Phishing-Links, mit deren Hilfe die Blockierung umgangen werden kann, HTML-Anhänge mit Junk-Inhalten, um die Erkennung durch Security-Tools zu vermeiden, und die Sandbox-Erkennung, die unerwünschten Datenverkehr wie z. B. Sicherheitsscanner-Tools auf eine nicht zugehörige Website wie die 404-Webseiten von Google leitet.
Die ShareFile-Angriffsmethode
Die Phishing-E-Mails geben sich in der Regel als SharePoint oder DocuSign aus und enthalten eine Filesharing-Benachrichtigung und einen Link, der sie zu einem gefälschten Dokument führt, das auf ShareFile gehostet wird.

Da die E-Mail eine legitime ShareFile-URL enthält, weist die Nachricht keine Sicherheitsbedenken auf. Und da die Empfänger die Plattform kennen und ihr vertrauen, ist es auch wahrscheinlicher, dass sie auf den Link klicken und die angeforderten Anmeldedaten eingeben.
Anzeichen, auf die Sie achten sollten
- Wie oben beschrieben, sollte eine E-Mail, die Sie nicht erwarten, von jemandem, von dem Sie nicht oft hören, und zu einem Thema, das für Sie nicht üblich ist, die Alarmglocken läuten lassen.
- Das Gleiche gilt für eine E-Mail von ShareFile, wenn Ihr Unternehmen ShareFile im Allgemeinen nicht verwendet.
- Melden Sie die Nachricht an Ihr Sicherheitsteam und wenden Sie sich gegebenenfalls direkt an den Absender, um zu überprüfen, ob die Nachricht legitim ist.
- Wenn die E-Mail einen Link enthält, der Sie zu einer Microsoft- oder Google-Anmeldeseite führt, überprüfen Sie, ob es sich um eine legitime Anmeldeseite handelt. Geben Sie Ihre Zugangsdaten nicht ein, wenn Sie den Verdacht haben, dass die Seite gefälscht oder bösartig sein könnte.
Phishing über Voicemail-Formulare nimmt wieder zu
Momentaufnahme der Bedrohung
Seit Februar beobachten die Bedrohungsanalysten von Barracuda nach einer Phase des Rückgangs einen Anstieg der Erkennung von E-Mail-Phishing-Angriffen auf Voicemail-Basis. Die Angriffe geben sich als Voicemail-Benachrichtigungen aus. Wenn der Empfänger auf den Link zum Abspielen der Nachricht klickt, wird er zu einem Online-Formular weitergeleitet, das auf legitimen Plattformen wie Monday und Zoho gehostet wird, und muss dort seine Zugangsdaten eingeben.

Andere kürzlich entdeckte Vishing-Angriffe betrafen Mamba 2FA und Tycoon 2FA, von denen einer die professionelle Social-Media-Plattform LinkedIn als Teil der URL-Weiterleitung nutzte.
Anzeichen, auf die Sie achten sollten
- Wie oben beschrieben, sollte die Warnleuchte aufleuchten, wenn der Absender, die Art und der behauptete Inhalt der Nachricht unerwartet oder unaufgefordert sind. Überprüfen Sie immer die Quelle, wenn sie wirklich echt zu sein scheint.
- Ein weiteres Warnzeichen ist jeglicher Druck, schnell zu handeln oder zu reagieren, oder jede Art von Bedrohung.
Wie Barracuda Email Protection Ihrem Unternehmen helfen kann
Barracuda Email Protection bietet eine umfassende Suite von Funktionen, die zum Schutz vor fortschrittlichen E-Mail-Bedrohungen entwickelt wurden.
Es umfasst Funktionen wie Email Gateway Defense, das vor Phishing und Malware schützt, und Impersonation Protection, das vor Social-Engineering-Angriffen schützt.
Darüber hinaus bietet es Incident Response und Domain-Fraud-Vorbeugung, um die Risiken im Zusammenhang mit kompromittierten Konten und betrügerischen Domains zu mindern. Der Service umfasst auch Cloud-to-Cloud Backup und Schulung zur Stärkung des Risikobewusstseins, um die allgemeine E-Mail-Sicherheitslage zu verbessern.
Barracuda kombiniert künstliche Intelligenz und weitreichende Integration mit Microsoft 365 in einer umfassenden, Cloud-basierten Lösung zum Schutz vor potenziell verheerenden, hochgradig zielgerichteten Phishing- und Identitätsmissbrauchsangriffen.
Weitere Informationen finden Sie hier.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.