Phishing-Kampagne gegen Unternehmen

Warnung vor gefälschten Rechnungen von 1&1

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Cybersecurity-Anbieter Proofpoint hat eine umfangreiche Phishing-Kampagne gegen deutsche Unternehmen bemerkt. Die Angreifer verwenden dazu gefälschte Rechnungen, die angeblich von 1&1 stammen.
Vom Original kaum zu unterschieden: Eine der für Phishing-Zwecke missbrauchten, gefälschten 1&1-Rechnungen, die deutsche Unternehmen derzeit massenhaft erhalten.
Vom Original kaum zu unterschieden: Eine der für Phishing-Zwecke missbrauchten, gefälschten 1&1-Rechnungen, die deutsche Unternehmen derzeit massenhaft erhalten.
Foto: Proofpoint

Seit Anfang Juni greifen Cyberkriminelle Beobachtungen des IT-Security-Anbieters Proofpoint zufolge in großem Umfang Unternehmen in Deutschland und teilweise auch Österreich an Sie nutzen dazu gefälschte Rechnungen von 1&1. Die sehr glaubwürdig erscheinenden, deutschsprachigen HTML-Mails missbrauchen das Logo und das Branding von 1&1. Das deutsche Unternehmen ist damit ebenso Opfer, wie zuvor schon viele andere bekannte Marken.

Öffnen Empfänger den als HTML-Dokument angezeigten Anhang, sehen sie zunächst die Meldung "Fast fertig. Ihr Dateidownload beginnt in Kürze …" bevor sie angewiesen werden, den Download zu öffnen und den Inhalt zu aktivieren. Währenddessen wird jedoch im Hintergrund eine Excel-Datei mit Makros heruntergeladen.

Mehr zum Thema: Angriffe auf Industriezulieferer in Deutschland

Sobald die Excel-Tabelle heruntergeladen und falls die Makros aktiviert sind - wovon Experten schon lange abraten, was neugierige oder besorgte Anwender aber gerade bei vermeintliche Rechungen, Bewerbungen und ähnlichen Dokumenten immer noch tun, wird ein Skript nachgeladen und ausgeführt, das die Malware SDBot nachlädt. Dabei handelt es sich um einen Remote-Access-Trojaner (RAT), der der das infizierte System kontrollieren und damit Daten und private Informationen stehlen kann.

Auch interessant: Spammer bereiten Phishing-Kampagnen mit Corona-Bezug vor

Proofpoint hat innerhalb von drei Tagen über 50.000 solcher Mail ermittelt. Ziel der Phishing-Attacken seien Unternehmen aus den Bereichen Fertigung, Luft- und Raumfahrt, Einzelhandel, Industrie sowie der Automobil-, Logistik-, Versicherungs- und Immobilienbranche.

Mehr zu Proofpoint: Michael Heuer leitet nun Proofpoint-Geschäft

Der Anbieter macht für den Angriff die Gruppe TA505 (Threat Actor 505) verantwortlich. Sie sei bereits im Februar 2020 mit einer ähnlich groß angelegten Angriffswelle gegen deutsche Unternehmen aufgefallen. Es handle sich dabei um eine "äußerst umtriebige, finanziell motivierte Gruppe von Cyberkriminellen, die in der Vergangenheit vor allem aufgrund der Verbreitung der Banking-Malware Locky und Dridex bekannt geworden ist", teilt Proofpoint mit.

Zur Startseite