Seit Anfang Juni greifen Cyberkriminelle Beobachtungen des IT-Security-Anbieters Proofpoint zufolge in großem Umfang Unternehmen in Deutschland und teilweise auch Österreich an Sie nutzen dazu gefälschte Rechnungen von 1&1. Die sehr glaubwürdig erscheinenden, deutschsprachigen HTML-Mails missbrauchen das Logo und das Branding von 1&1. Das deutsche Unternehmen ist damit ebenso Opfer, wie zuvor schon viele andere bekannte Marken.

Öffnen Empfänger den als HTML-Dokument angezeigten Anhang, sehen sie zunächst die Meldung "Fast fertig. Ihr Dateidownload beginnt in Kürze …" bevor sie angewiesen werden, den Download zu öffnen und den Inhalt zu aktivieren. Währenddessen wird jedoch im Hintergrund eine Excel-Datei mit Makros heruntergeladen.

Sobald die Excel-Tabelle heruntergeladen und falls die Makros aktiviert sind - wovon Experten schon lange abraten, was neugierige oder besorgte Anwender aber gerade bei vermeintliche Rechungen, Bewerbungen und ähnlichen Dokumenten immer noch tun, wird ein Skript nachgeladen und ausgeführt, das die Malware SDBot nachlädt. Dabei handelt es sich um einen Remote-Access-Trojaner (RAT), der der das infizierte System kontrollieren und damit Daten und private Informationen stehlen kann.

Proofpoint hat innerhalb von drei Tagen über 50.000 solcher Mail ermittelt. Ziel der Phishing-Attacken seien Unternehmen aus den Bereichen Fertigung, Luft- und Raumfahrt, Einzelhandel, Industrie sowie der Automobil-, Logistik-, Versicherungs- und Immobilienbranche.

Der Anbieter macht für den Angriff die Gruppe TA505 (Threat Actor 505) verantwortlich. Sie sei bereits im Februar 2020 mit einer ähnlich groß angelegten Angriffswelle gegen deutsche Unternehmen aufgefallen. Es handle sich dabei um eine "äußerst umtriebige, finanziell motivierte Gruppe von Cyberkriminellen, die in der Vergangenheit vor allem aufgrund der Verbreitung der Banking-Malware Locky und Dridex bekannt geworden ist", teilt Proofpoint mit.