Vor kurzem wurde in einem Blog-Beitrag von einer neuen Phishing-Kampagne berichtet, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben. Opfer der Kampagne erhalten teils stark personalisierte Phishing-Emails, in denen ihnen Urheberrechtsverletzungen vorgeworfen werden. Geraten sie in Panik und klicken auf Dokumente, die angeblich weitergehende Informationen enthalten, laden sie sich – unbemerkt von ihren Sicherheitstools – die Infostealer-Malware Rhadamanthys auf ihr System.

An Professionalität mangelt es den Angreifern, die vor allem in Mittel- und Osteuropa zu agieren scheinen, nicht. Getarnt als angebliche juristische Mitarbeiter der Rechtsabteilung eines Unternehmens versenden Sie per E-Mail offiziell klingende Anschreiben an ihre Opfer, in denen sie ihnen vorwerfen, dass sie in ihrer Arbeit ein Urheberrecht des betreffenden Unternehmens verletzt hätten.

Weiterführende Informationen seien über einen Link abrufbar. Klicken die Content-Kreatoren auf diesen, werden sie über eine angemietete Domain auf einen Dienst wie Dropbox, Discord oder Mediafire weitergeleitet. Dort befinden sich dann, in aller Regel, ein legitimer PDF-Reader, ein PDF-Dokument – zur Täuschung des Opfers – und eine bösartige Dynamic Link Library (DLL). Klickt das Opfer nun auf das Dokument, um es zu öffnen, nutzen die Angreifer das DLL-Ladeverhalten des legitimen PDF-Readers aus, um heimlich, verborgen vor den Sicherheitstools ihres Opfers, bösartigen Code zur Ausführung zu bringen – in diesem Fall die Infostealer-Malware Rhadamanthys auf dem Rechner ihres Opfers zu installieren.

Rhadamanthys ermöglicht es ihnen dann, unterschiedliche Arten von gespeicherten Anmeldeinformationen und sensible Daten zu sammeln und aus dem System ihres Opfers zu exfiltrieren – ohne, dass dieses hiervon etwas mitbekommt.

Ziel der Kampagne sind aber nicht allein die Daten der Content-Kreatoren. Auch die Daten der Unternehmen, die deren Dienste als Freelancer in Anspruch nehmen, liegen im Fokus. Häufig erhalten Content-Kreatoren als Externe für ihre Arbeit Zugang zu Unternehmensnetzwerken oder Zugangsdaten. Das wissen die Angreifer. Gelingt es ihnen, die Systeme der Freelancer zu kompromittieren, können sie deren Konten als Einstieg nutzen, um tief in die Systeme der Unternehmen vorzustoßen – unentdeckt von deren Sicherheitstools und -Teams.

Die aufgedeckte Kampagne zeigt einmal mehr, wie wichtig es ist, dass Unternehmen sämtliche Mitarbeiter – auch die Externen – in ihre Maßnahmen zur Anhebung des Sicherheitsbewusstseins mit einbeziehen. Phishing und Spear Phishing sind nach wie vor die Ansatzpunkte mit den größten Erfolgschancen für Cyberkriminelle. Wollen Unternehmen sich effektiv vor Cyberangriffen schützen, haben sie dementsprechend hier als erstes anzusetzen.

Sämtliche Mitarbeiter – auch die Externen – müssen in die Lage versetzt werden, noch die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering, zu erkennen – bevor es zu spät ist. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Systemen, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Absenderdomain, dem Inhalt und möglicher Social Engineering-Taktiken. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre internen wie externen Mitarbeiter zu ihrer besten Verteidigungslinie im Kampf gegen Cyberbedrohungen zu machen.