Cyberbedrohungen
Phishing-Angriffe nutzen SingleFile zur Verschleierung
Bei der Suche nach Phishing-Seiten mit einzigartigen Anmeldecharakteristiken stießen die Sicherheitsforscher von Trend Micro auf eine Taktik, die sich das legitime Tool SingleFile zunutze macht, um der Entdeckung zu entgehen.
Originalartikel von Samuel P Wang, Fraud Researcher
Phishing ist wegen seiner Effizienz eine allgegenwärtige Taktik in der Cyberkriminalität, wobei die eingesetzten Strategien immer raffinierter werden. Bei der Suche nach Phishing-Seiten mit einzigartigen Anmeldecharakteristiken stießen die Sicherheitsforscher von Trend Micro auf eine Taktik, die sich das legitime Tool SingleFile zunutze macht, um der Entdeckung zu entgehen.
SingleFile ist eine Web Extension für Google Chrome und Mozilla Firefox, mit der Nutzer eine Webseite als einzelne HTML-Datei speichern können. Dabei werden aber mehrere Ordner für die verschiedenen Dateien aus der Webseite genutzt. SingleFile verschlankt diesen Prozess, sodass er für verschiedene Einsatzszenarien vereinfacht wird, etwa für das Archivieren von Websites. Leider können auch Bedrohungsakteure davon profitieren.
Die entdeckten Samples zeigen, dass Cyberkriminelle SingleFile verwenden, um die Login-Seiten von legitimen Websites in Phishing-Kampagnen einzubinden. Die Methode für das Erstellen von Login-Seiten ist einfach aber effizient für die Verschleierung des Phishing-Angriffs. Die erstellte Phishing-Seite versteckt den HTML-Code des Login-Formulars und das JavaScript, dass die ursprüngliche Login-Seite nutzt, vor statischen Detection Tools. Weitere technische Details enthält der Originalbeitrag.
Empfehlungen und Lösungen
Sowohl Nutzer als auch Unternehmen können die Gefahr mindern, wenn sie sich an Standard Best Practices orientieren, die auf eine Verteidigung gegen Phishing ausgerichtet sind:
- Jede Website mit einer ungewöhnlichen URL ist wahrscheinlich bösartig, denn die meisten Unternehmens-Websites beinhalten den Firmennamen oder den eines ihrer Produkte.
- Einige Bedrohungsakteure erstellen URLs, die denen einer offiziellen Website ähnlich sind. Daher sollten Nutzer nachprüfen, ob die besuchte Website eine korrekte URL hat – einfach über eine Anfrage in einer Suchmaschine.
- Nutzer sollten keine Links anklicken oder Dateien herunterladen, die sie über eine Mail erhalten, es sei denn, sie sind sich absolut sicher, dass der Absender legitim ist.
Eine umfassende Sicherheitslösung sollte ebenfalls in Betracht gezogen werden. Trend Micro™ Cloud App Security™ etwa nutzt Machine Learning (ML) für Web Reputation und URL-Analysen. Auch ist die Lösung in der Lage, verdächtige Inhalte im Nachrichtenteil und in den Anhängen der Mail zu erkennen. Schließlich stehen eine Sandbox-Analyse zur Verfügung und Fähigkeiten zur Erkennung von Exploits.
Der Trend Micro™ Web Reputation Service kann Nutzer vor Verschleierungsmethoden schützen. Der Dienst prüft die Glaubwürdigkeit von Webdomänen, indem er ihnen einen Reputationswert zuteilt auf der Basis von Faktoren wie Alter, Änderungen des Standorts und Indikatoren für verdächtige Aktivitäten, die über Verhaltensanalyse erkannt wurden. Danach scannt der Dienst die Sites und blockiert Nutzer, wenn sie auf eine infizierte zugreifen wollen.