Barracuda full logo

E-Mail-Bedrohungsradar – Juli 2025

Themen:
24. Juli. 2025
|

Im Juli erkannten die Barracuda-Bedrohungsanalysten mehrere bemerkenswerte E-Mail-basierte Bedrohungen, die auf Organisationen auf der ganzen Welt abzielten. Viele von ihnen nutzten beliebte Phishing-as-a-Service (PhaaS)-Kits. Dazu gehören:

  • Tycoon PhaaS gibt sich als Autodesk Construction Cloud aus, um einen Phishing-Angriff mit Zugangsdaten zu starten
  • Ein Betrug mit gefälschten Mautverstößen, der sich an Fahrer in den USA richtet.
  • Phishing-E-Mails, die den Zix Secure Message-Dienst nachahmen
  • EvilProxy-Angriffe, die sich als RingCentral ausgeben
  • Gabagool-Phishing-Kit, das ein Produktivitätstool für Unternehmen mit einem schädlichen PDF ausnutzt
  • Phishing-Angriffe, bei denen die Marken Copilot und SharePoint gebündelt werden
  • Angriffe zum Diebstahl von Zugangsdaten durch LogoKit mithilfe des Roundcube-Webmail-Dienstes
  • Tycoon-Links werden als Dokument-Downloads verteilt

Phishing-Angriffe, die Autodesk Construction Cloud missbrauchen

Momentaufnahme der Bedrohungen:

Die Bedrohungsanalysten von Barracuda haben beobachtet, dass Angreifer die Autodesk Construction Cloud missbrauchen, um ausgeklügelte Phishing-Angriffe durchzuführen. Die Autodesk Construction Cloud ist eine Suite von Online-Kollaborationstools im Bausektor, deren Umfang von der Planung und dem Bau bis hin zum Projektmanagement und der Budgetierung reicht.

Bei den von Barracuda beobachteten Angriffen geben sich die Angreifer als vertrauenswürdige Führungskraft aus und versenden offiziell aussehende Projektbenachrichtigungen über Autodesk. Die Benachrichtigungen führen die Empfänger zu einer von Autodesk gehosteten Seite, auf der eine scheinbar harmlose ZIP-Datei liegt. 

Ein Beispiel für eine ZIP-Datei mit einer HTML-Datei, die den Phishing-Versuch einleitet.

Die ZIP-Datei enthält eine HTML-Datei, die den Phishing-Versuch einleitet.

Beim Öffnen der HTML-Datei wird ein gefälschter CAPTCHA-Verifizierungsbildschirm angezeigt – eine gängige Technik beim Phishing, da sie dem Angriff Glaubwürdigkeit verleiht und dabei hilft, die automatische Sicherheitserkennung zu umgehen. Der Nutzer wird dann aufgefordert, seine Microsoft-Zugangsdaten auf einer überzeugend gefälschten Seite einzugeben. 

Beispiel einer gefälschten Microsoft-Anmeldeseite, die bei diesen Angriffen verwendet wird

Diese Kampagne verwendet das Tycoon 2FA-Phishing-Kit, das die Anmeldung bei Microsoft nachahmt, um die Zwei-Faktor-Authentifizierung zu umgehen.

Angreifer nehmen Autofahrer in den USA mit einem neuen Mautbetrug ins Visier.

Momentaufnahme der Bedrohungen:

Eine neue Phishing-Betrugsmasche zielt mit gefälschten Benachrichtigungen über nicht bezahlte Mautgebühren auf in den USA ansässige Autofahrer ab. Die Opfer erhalten dringliche Nachrichten per SMS, E-Mail oder Telefonanruf, die oft den Anschein erwecken, von den echten Mautbehörden zu stammen. Diese Nachrichten behaupten, dass der Empfänger Maut schuldet und drohen mit einer Kontosperrung oder rechtlichen Schritten, wenn die Zahlung nicht umgehend erfolgt. 

Beispiel einer Phishing-E-Mail, die sich als Mautbehörde ausgibt.
Die Nachrichten enthalten Links zu gefälschten Websites, auf denen sensible Daten wie Kfz-Kennzeichen und Kreditkartendaten abgefragt werden. Betrüger nutzen diese Informationen dann, um sich finanziell zu bereichern oder die Identität der Opfer zu stehlen. 
Beispiel einer gefälschten Website aus einem Mautbetrug

Taktiken wie Dringlichkeit und offizielles Aussehen, um Empfänger dazu zu bringen, ohne Überprüfung der Legitimität der Nachricht zu handeln, machen diesen Betrug sehr effektiv.

Phishing-Kampagne, die sich als Zix Secure Message Center ausgibt

Momentaufnahme der Bedrohungen:

Diese Kampagne imitiert das Zix Secure Message Center, einen verschlüsselten E-Mail-Dienst, der im Gesundheitswesen, Finanzwesen, Rechtswesen und im öffentlichen Sektor beliebt ist.

Die Opfer erhalten eine E-Mail mit einer vermeintlich sicheren Nachricht und einem Link, auf den sie klicken können, um die Nachricht anzuzeigen. Der Link führt Nutzer auf eine gefälschte Zix-Seite, auf der sie aufgefordert werden, ihre E-Mail einzugeben. Sie werden dann auf eine betrügerische Microsoft-Anmeldeseite umgeleitet, wo Zugangsdaten gestohlen werden. 

Gefälschte E-Mail über eine sichere Nachricht auf Zix.
Die Kampagne funktioniert, weil sie die tatsächlichen Arbeitsabläufe und das Branding von Zix genau nachbildet, sodass es für die Empfänger schwierig ist, die Täuschung zu erkennen. Dabei sind Unternehmen, die E-Mail-Verschlüsselungsdienste wie Zix und Microsoft 365 verwenden, besonders gefährdet.
Beispiel einer Benachrichtigung, die in einer Zix-Kampagne verwendet wurde.

Gefälschter Voicemail-Angriff von EvilProxy, der RingCentral nachahmt

Momentaufnahme der Bedrohungen:

Die Bedrohungsanalysten von Barracuda haben einen ausgeklügelten Phishing-Angriff entdeckt, bei dem über gefälschte Voicemail-Benachrichtigungen Opfer dazu gebracht werden, ihre Zugangsdaten auf betrügerischen Websites einzugeben. 

Phishing-E-Mail, die sich als Sprachnachrichten von RingCentral ausgibt.

Angreifer geben sich als RingCentral aus, eine beliebte Cloud-basierte Plattform für Kommunikation und Zusammenarbeit in Unternehmen, und senden überzeugende E-Mails über eine „neue Voicemail“ mit personalisierten Details. Durch Klicken auf die Wiedergabetaste wird eine Reihe von Weiterleitungen gestartet – beginnend mit einer vertrauenswürdigen Newsletter-Plattform (Beehiiv), gefolgt von einem legitimen Cloud-Hosting-Anbieter (Linode) und schließlich einem Verifizierungsschritt auf glitch.me.

So kann der der Angriff nicht erkannt werden und erscheint glaubwürdiger. Das Ziel ist eine Phishing-Seite, die über das EvilProxy PhaaS-Kit Microsoft-Zugangsdaten stiehlt und dabei gängige Sicherheitsprüfungen umgeht. Dieser mehrschichtige Ansatz macht den Angriff schwer zu erkennen und äußerst wirksam.

Kurz gesagt

Das Phishing-Kit „Gabagool“ nutzt mit schädlichen PDF-Dateien ein Tool zur Steigerung der Unternehmensproduktivität aus.

Momentaufnahme der Bedrohungen:

Gabagool ist ein hochentwickeltes PhaaS-Kit, das für seine Tarnung und Effektivität bekannt ist und mit hochentwickelten Taktiken zum Diebstahl von Zugangsdaten gezielt Unternehmens- und Regierungsmitarbeiter angreift. Die Bedrohungsanalysten von Barracuda haben Angreifer entdeckt, die Gabagool und die Filesharing-Funktion des Notion.com Business Productivity Tools nutzen, um bösartige PDF-Dateien mit Phishing-Links zu verbreiten. Die PDFs führen zu Phishing-Seiten, deren Ziel der Diebstahl von Nutzer-Zugangsdaten ist. Durch die Nutzung einer vertrauenswürdigen Plattform und scheinbar harmloser PDFs können Angreifer die üblichen Sicherheitskontrollen umgehen.

Kopilot und SharePoint werden für Phishing gebündelt

Momentaufnahme der Bedrohungen:

Cyberkriminelle kombinieren Microsoft SharePoint und Copilot-Branding in Phishing-Angriffen und erstellen E-Mails, die wie echte „Dokument freigegeben”-Benachrichtigungen von internen oder Lieferanten-Konten aussehen. Diese Nachrichten fordern die Empfänger auf, auf Links zu klicken, die zu fachmännisch imitierten Microsoft-Anmeldeseiten führen. Die Kampagne richtet sich an Organisationen, die sich auf Microsoft-Tools verlassen, und will die Zugangsdaten von ahnungslosen Mitarbeitern abfassen.

LogoKit unterstützt den Diebstahl von Zugangsdaten mithilfe des Webmail-Dienstes Roundcube

Momentaufnahme der Bedrohungen:

Diese Phishing-Kampagne zielt auf Nutzer des kostenlosen Open-Source-Webmail-Clients Roundcube ab und versendet gefälschte Warnmeldungen über den Ablauf von Passwörtern, die darauf hinweisen, dass ihre Passwörter in 48 Stunden ablaufen, wenn keine Maßnahmen ergriffen werden. Die Nachricht enthält einen Link, der angeblich dazu dienen soll, das aktuelle Passwort beizubehalten, führt jedoch zu einer Phishing-Seite, die mit dem LogoKit-Toolkit erstellt wurde. Hier werden Nutzer aufgefordert, ihre Zugangsdaten einzugeben, die dann von Angreifern abgegriffen werden.

Tycoon PhaaS-Link als Projektdokument-Download verteilt

Momentaufnahme der Bedrohungen:

Im Rahmen dieser Phishing-Kampagne werden E-Mails verbreitet, die als legitime Geschäftsdokumente getarnt sind, beispielsweise „Projektübersicht.pdf“. Die Opfer werden dazu verleitet, auf Download-Links zu klicken, die über mehrere Zwischenseiten umgeleitet werden, um die böswillige Absicht zu verschleiern, und schließlich auf einer von Tycoon PhaaS gehosteten Phishing-Seite landen. Diese modulare und ausweichende Strategie hilft Kriminellen, die Erkennung zu umgehen und erhöht die Lebensdauer bösartiger URLs. Die Kampagne richtet sich an Geschäftsnutzer, die es gewohnt sind, Dokumente auszutauschen, wodurch sie den Phishing-Links eher vertrauen und mit ihnen interagieren, was zu gestohlenen Zugangsdaten und einer möglichen Gefährdung des Geschäftsbetriebs führen kann.

Wie Barracuda Email Protection Ihrem Unternehmen helfen kann

Barracuda Email Protection bietet eine umfassende Suite von Funktionen, die zum Schutz vor fortschrittlichen E-Mail-Bedrohungen entwickelt wurden.

Es umfasst Funktionen wie Email Gateway Defense, das vor Phishing und Malware schützt, und Impersonation Protection, das vor Social-Engineering-Angriffen schützt.

Darüber hinaus bietet es Incident Response und Domain-Fraud-Vorbeugung, um die Risiken im Zusammenhang mit kompromittierten Konten und betrügerischen Domains zu mindern. Der Service umfasst auch Cloud-to-Cloud Backup und Schulung zur Stärkung des Risikobewusstseins, um die allgemeine E-Mail-Sicherheitslage zu verbessern.

Barracuda kombiniert künstliche Intelligenz und weitreichende Integration mit Microsoft 365 in einer umfassenden, Cloud-basierten Lösung zum Schutz vor potenziell verheerenden, hochgradig zielgerichteten Phishing- und Identitätsmissbrauchsangriffen.

Weitere Informationen finden Sie hier.

Erfahren Sie, wie Barracuda Sie beim Schutz Ihres Unternehmens unterstützen kann
Verwandte Beiträge:
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.