Vor kurzem haben das Digital Risk Protection (DRP)-Team und die Threat Fusion Cell (TFC) von BlueVoyant eine neue mehrstufige Phishing-Kampagne aufgespürt, analysiert und abgewehrt. Ziel der Kampagne waren die Nutzerdaten von Kunden US-amerikanischer und europäischer Finanzinstitute und Kreditgenossenschaften.

Anfang Juli des vergangenen Jahres hatte die Kampagne ihren Anfang genommen. Zum Abschöpfen der Credentials ihrer Opfer hatten die Angreifer massenhaft Fake-Domains für Phishing-Webseiten mit einer einzigartigen, prozedural generierten Namenskonvention registriert: dem Präfix digit, gefolgt von zwei durch Bindestriche getrennte Zeichenfolgen aus scheinbar zufälligen Zeichen, oft mit einer pseudo-griechischen oder lateinischen Morphologie, unter Verwendung von TLDs wie .shop, .cfd und .buzz.

Mitte November 2025 konnten die Sicherheitsanalysten von BlueVoyant dann eine deutliche Weiterentwicklung der Kampagne feststellen. Den digit*-Seiten waren nun Webseiten von Subdomains der .co.com-Domain vorgeschaltet worden – speziell präpariert, um es den Angreifern zu ermöglichen, bei Anfragen automatisierte Legitimitätsprüfungen effektiv ausfiltern. Wählte ein Scanner eines Opfers die Adresse direkt an, wurde er zu einer fehlerhaften „www[.]www“-URL weitergeleitet. Der Scanner stieß dann also auf einen Browserfehler. Der schädliche Inhalt blieb ihm verborgen. Nun wenn ein Opfer eine Phishing-E-Mail mit einen Link zur Phishing-Website (der einen gültigen HTTP-Referrer lieferte) erhielt und diesen direkt anklickte, ludt die Domain die gehostete Fake-Phishing-Website korrekt. Die Seite, auf die das Opfer dann geleitet wurde, enthielt ein nicht funktionierendes CAPTCHA, das eine absichtliche Verzögerung erzeugte, bevor ein Base64-kodiertes Skript das Opfer auf die endgültige Phishing-Seite, die dann wieder auf einer digit*-Domain lag, weiterleitete.

Sobald das Opfer diese Phishing-Seite dann erreichte, wurde ihm eine Fake-Anmeldeaufforderung, angeblich von seiner Finanzinstitution, angezeigt – um Anmeldedaten und andere sensible Authentifizierungsdaten zu entwenden. Ging das Opfer auf die Aufforderung, seine Daten einzugeben, ein, wurde ihm anschließend eine allgemeine Fehlermeldung angezeigt, die auf ein vorübergehendes Problem verwies. Ausgestattet mit diesem mehrstufigen Ansatz gelang es den Angreifern, die Erfolgschancen ihrer Kampagne wesentlich zu erhöhen, das Risiko einer frühzeitigen Entdeckung drastisch zu reduzieren.

Dennoch konnte das DRP-Team von BlueVoyant die Kampagne aufspüren, identifizieren und abwehren. In Kooperation mit den betroffenen Hosting-Anbietern und Domain-Registraren wurden rasch Gegenmaßnahmen eingeleitet. Der Takedown der Fake-Domains wurde gestartet, die bösartige Infrastruktur der Kampagne zerschlagen. Sollten noch einmal neue Instanzen der Kampagne auftauchen, wird BlueVoyant sie nun, dank kontinuierlicher Überwachung und automatisierten Erkennungsfunktionen, frühzeitig identifizieren und eliminieren können.

Unternehmen kann nur geraten werden, sofern sie es nicht schon längst getan haben, ebenfalls eine proaktive und informationsgestützte Verteidigungsstrategie einzuleiten. Schwerpunkte sollten auf der Schulung sämtlicher Mitarbeiter in der Erkennung verdächtiger Domains, der Implementierung strenger Multi-Faktor-Authentifizierungen (MFA), dem Einsatz von Dark Web Watchers, die in der Lage sind, Bedrohungen auch außerhalb des eigenen Unternehmensnetzwerk zu erkennen sowie fortschrittlicher Sicherheitslösungen liegen, die in der Lage sind, auch komplexe, mehrphasige Angriffsketten effektiv zu erkennen, zu analysieren und abzuwehren.