{"id":282576,"date":"2023-06-15T12:08:31","date_gmt":"2023-06-15T10:08:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282576"},"modified":"2023-06-15T15:49:53","modified_gmt":"2023-06-15T13:49:53","slug":"gut-gemachter-phishing-versuch-mit-malware-im-namen-microsofts","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/15\/gut-gemachter-phishing-versuch-mit-malware-im-namen-microsofts\/","title":{"rendered":"Gut gemachter Phishing-Versuch mit Malware im Namen Microsofts"},"content":{"rendered":"

\"Sicherheit[English]Ein Blog-Leser hat mich auf einen gut gemachten Phishing-Versuch per E-Mail aufmerksam gemacht, der das Thema Multifactor-Authentifizierung (MFA) aufgreift. Dabei wird suggeriert, dass die Mail von Microsoft selbst stammt (es wird eine Sub-Domain von Microsoft benutzt) und die Leute agieren sollen, indem sie das Thema MFA updaten. Ich habe den Fall versucht zu analysieren \u2013 das Ganze f\u00fchrt auf eine Phishing-Seite, die Microsoft Anmeldedaten abfischen will, aber von diversen Sicherheitssystemen nicht als sch\u00e4dlich erkannt wird. <\/p>\n

<\/p>\n

\"\"\u00dcber das Thema Phishing habe ich hier im Blog ja bereits sehr h\u00e4ufig berichtet. H\u00e4ufig hei\u00dft es dann in den Kommentaren schon mal \"wer kann so bl\u00f6d sein \u2026\". Aber die genutzten Varianten der Phisher sind dabei unendlich. Und inzwischen treiben einige Cyberkriminelle sehr viel Aufwand, um die Opfer zu \u00fcbert\u00f6lpeln. Mir ist nun eine neue Variante untergekommen, die f\u00fcr mich recht interessant in der Analyse war. Ich stelle den Fall, soweit er mir bekannt ist, hier im Blog ein, damit andere Administratoren ggf. darauf reagieren und Ma\u00dfnahmen ergreifen k\u00f6nnen. <\/p>\n

\n

Aus Sicherheitsgr\u00fcnden habe ich einige Informationen aus der Phishing-Mail geschw\u00e4rzt bzw. verfremdet und postet den Original-Link auch nicht hier im Blog (einmal, um die \"muss ich mal ausprobieren\"-Fraktion nicht zu triggern, und zum Anderen, um mit borncity.com <\/em>nicht ganz fix auf einer Block-Liste irgendwelcher \"Sicherheitsanbieter\" zu landen, w\u00e4re ja nicht das erste Mal). <\/p>\n<\/blockquote>\n

Die Phishing-Mail<\/h2>\n

Blog-Leser und Administrator Hubert hat mich gestern Morgen per E-Mail kontaktiert, weil in seiner Umgebung eine, wie er schreibt, \"gut gemachte Phishing-Mail\" an den Gesch\u00e4ftsf\u00fchrer ging (das Unternehmen ist mir bekannt, soll hier aber ungenannt bleiben). Der Blog-Leser beschreibt in diesem Zusammenhang den Sachverhalt folgenderma\u00dfen. <\/p>\n

\n

Hallo Herr Born,<\/p>\n

ich denke unser Gesch\u00e4ftsf\u00fchrer hat heute eine sehr gut gemachte Mail erhalten, welche scheinbar von Microsoft stammt und in deren QR Code ein heftiger Aufruf steckt. <\/p>\n

Die Mail wurde von Microsoft Defender for Office 365 (Plan 1) nicht erkannt und ging \"durch\".<\/p>\n

Hier ein Screenshot der Mail, die kam von [FIRMA] ITDESK, Absender scheinbar eine subdomain von onmicrosoft.com<\/p>\n<\/blockquote>\n

\"Phishing-Mail<\/a>
Phishing-Mail (MSFT) \u2013 Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Den QR-Code in obigem Screenshot habe ich aus Sicherheitsgr\u00fcnden ver\u00e4ndert, da der generierte Link auf eine b\u00f6sartige Seite f\u00fchrt. In der Phishing-Mail hei\u00dft es dazu: <\/p>\n

\n

You are mandated to update an enable 2FA security on your account on Tuesday, [Datum; Uhrzeit] to mitigate theft and help protect your account. Please scan the above QR Code with your phone camera to generate a new device code for your Microsoft Authenticator App. Failure to authenticate the security information will lead to a loss of email privileges. <\/p>\n<\/blockquote>\n

Der Empf\u00e4nger wird also benachrichtigt, dass er nun einen Zweifaktor-Authentifizierung nutzen k\u00f6nnen und wird aufgefordert, die 2FA-Authentifizierung einzurichten. Dazu erh\u00e4lt er einem QR-Code, den er per Mobilger\u00e4t scannen soll. Der QR-Code generiert nat\u00fcrlich einen Link f\u00fcr eine Webseite, die der Nutzer dann besuchen soll \u2026<\/p>\n

Analyse des Ziellinks<\/h2>\n

Kommen wir zum n\u00e4chsten Schritt, und schauen, was hinter dem QR-Code und dem generierten Link steckt. Der Leser hat sich den per QR-Code generierten Link angeschaut und schreibt \"und siehe da, was geht da ab?\". Hier der betreffende Link (mit geschw\u00e4rzten pers\u00f6nlichen Daten):<\/p>\n

\"Phishing-Link\"<\/p>\n

Es gibt einen Redirekt zu einer docusafe.zip<\/em>-Domain, wo dann entsprechender Schritte zur \"Behandlung des Opfers\" durchgef\u00fchrt werden k\u00f6nnen. Die potentiellen Opfer werden diesen Redirect-Teil der Nachricht aber kaum zu Gesicht bekommen. Die URL f\u00e4ngt mit login[.]microsoftonline[.]com<\/em> an und verweist scheinbar auf oauth2<\/em>. Der Redirekt ist als Parameter angeh\u00e4ngt. <\/p>\n

.zip-Domain als Risiko<\/h3>\n

Soweit so schlecht. Bei einer .zip-Domain klingeln bei mir sofort alle Alarmglocken, gab es doch k\u00fcrzlich eine Warnung von Sicherheitsforschern, als diese Domain allgemein freigegeben wurde. Hatte ich im Blog nicht thematisiert, aber die Kollegen von Bleeping Computer haben im Beitrag New ZIP domains spark debate among cybersecurity experts<\/a> auf die Risiken hingewiesen. Ein deutschsprachiger Beitrag zum Thema findet sich bei heise<\/a>. Inzwischen hat Bleeping Computer Ende Mai 2023 im Artikel Clever 'File Archiver In The Browser' phishing trick uses ZIP domains<\/a> auf den ersten Missbrauch hingewiesen. <\/p>\n

Den obigen Phishing-Link analysieren<\/h3>\n

Ich habe dann versucht, den aus dem QR-Code generierten Phishing-Link zu analysieren. Erste Idee war nat\u00fcrlich, diesen Link auf VirusTotal<\/a> pr\u00fcfen zu lassen. Das Ergebnis ist ern\u00fcchternd, kein einziger der Virenpr\u00fcfer meldet das Ganze als sch\u00e4dlich (malicious) \u2013 nur bei Quttera kommt der Hinweis, dass der Link \"verd\u00e4chtig\" (supicious) sei.<\/p>\n

\"Phishing<\/p>\n

Daf\u00fcr gibt es zwei Erkl\u00e4rungen: Die Zielseite erkennt virustotal.com<\/em> und gaukelt eine saubere Seite vor. Oder die Sicherheitsanbieter, die auf VirusTotal involviert sind, scannen das Ganze nicht vollst\u00e4ndig (den Verdacht hege ich bereits l\u00e4nger, da mir dies bei Analysen aufgefallen ist, wo ich die Gesamt-URL und Teil-URLs scannen lie\u00df und unterschiedliche Ergebnisse angezeigt bekam). Die in obigem Screenshot angezeigte URL deutet m\u00f6glicherweise auf so etwas hin. Sollte man auf jeden Fall im Hinterkopf behalten, wenn man sich zu einer Pr\u00fcfung aufrafft. <\/p>\n

Zweite Pr\u00fcfung mit Sandbox-Seite<\/h3>\n

Um gefahrlos zu testen, was auf der Zielseite passiert, versuche ich online \"sandboxed pishing\" Pr\u00fcfseiten (z.B. checkphish.ai,  bei anyrun.com braucht man schon eine Anmeldung) zu verwenden. Die checkpish.ai<\/em>-Seite erm\u00f6glicht eine Analyse pro Tag und hat dann bei der Pr\u00fcfung der Zielseite folgendes gemeldet.<\/p>\n

\"Check<\/p>\n

War ern\u00fcchternd, die Seite meldet, dass alles in Ordnung sei. Offenbar wird nur der erste Teil der URL mit ausgewertet \u2013 m\u00f6glicherweise, weil die Zielseite die Sandbox erkennt und den Redirect nicht anwendet. Das Opfer bekommt dann die Microsoft Anmeldeseite zu sehen.<\/p>\n

\"Microsoft<\/p>\n

Da die Analyse des Phishing-Links einen Redirect ergab, kann ich an dieser Stelle nicht genau sagen, ob die Sandbox Mist macht, oder ob die Zielseite den Analyseansatz erkennt und keinen Redirect vornimmt. Jedenfalls sollten alle Alarm-Glocken an dieser Stelle l\u00e4uten \u2013 denn im d\u00fcmmsten Fall werden die Anmeldedaten f\u00fcr das Microsoft-Konto von den Phishern abgegriffen. Im d\u00fcmmsten Fall k\u00f6nnte auch Malware \u00fcber die Zielseite an die Opfer ausgeliefert werden. <\/p>\n

Was mir auch noch aufgefallen ist: Auf der gleichen IP wie login[.]microsoftonline[.]com <\/em>werden laut checkphish.ai<\/em> die nachfolgenden Domains gehostet. K\u00f6nnte nat\u00fcrlich sein, dass eine Firma da ihre URL f\u00fcr die Firmendomain eingibt, um irgend etwas mit einer Microsoft-Anmeldung zu versuchen. Die Links sind f\u00fcr mich daher verd\u00e4chtig, da sie sich auf einer login[.]microsoftonline[.]com <\/em>-IP finden und nun gar nichts mit Microsoft zu tun haben.  <\/p>\n

\"hosted<\/p>\n

Beim Versuch, einzelne Links aufzurufen, habe ich festgestellt, dass diese entweder tot sind (der Browser zeigt \"Not Found\" an), oder auf die Microsoft-Anmeldeseite verweisen (siehe beispielsweise nachfolgender Screenshot). <\/p>\n

\"Microsoft<\/p>\n

Die Phisher sind meiner Einsch\u00e4tzung nach also weiterhin aktiv. Dann habe ich mal direkt die Seite docusafe[dot]zip<\/em> aufgerufen, um zu testen, was da passiert. VirusTotal meldet mir nach Pr\u00fcfung durch 90 Sicherheitsanbieter, dass die Zielseite \"clean\" sei \u2013 ersch\u00fctternd. Bei den Sandbox-Seiten h\u00e4tte ich mich anmelden m\u00fcssen \u2013 was ich nicht wollte. <\/p>\n

Da ich (nach einigem \u00dcberlegen) die Seite docusafe[dot]zip<\/em> so eingestuft habe, dass die Betreiber dort nicht sofort sch\u00e4dliche Inhalte pr\u00e4sentieren (die wollen ja m\u00f6glichst lange unbehelligt bleiben und nicht durch VirusTotal & Co. als sch\u00e4dlich geflaggt werden), bin ich einen Schritt weiter gegangen und habe mir die Domain in einem Browser anzeigen lassen. Im Inkognito-Modus zeigt mir der Ungoogled-Browser aber bereits eine deutliche Warnung an \u2013 siehe folgender Screenshot.<\/p>\n

\"Phishing<\/a>
Warnung vor Phishing-Seite, zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Die betreffende URL wurde offenbar schon von Dritten als Phishing-Seite gemeldet. Was mir unverst\u00e4ndlich ist: Wieso verf\u00fcgt VirusTotal nicht \u00fcber die gleiche Informationsbasis. An der Stelle habe ich aber meine Analyseversuche abgebrochen. Der Fall zeigt aber, dass die Phisher immer raffinierter werden und viele Sicherheitssysteme austricksen k\u00f6nnen. <\/p>\n

Vielleicht gibt es aus der Leserschaft ja noch Erkenntnisse bez\u00fcglich des Phishing-Ansatzes \u2013 speziell, was das Redirect auf login[.]microsoftonline[.]com <\/em>betrifft. Als Administrator w\u00fcrde ich versuchen, die Sicherheitssysteme so einzustellen, dass Links mit Verweisen oder Redirects auf zip-Domains gefiltert, geblockt und gemeldet werden. Oder wie w\u00fcrdet ihr das handhaben? <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein Blog-Leser hat mich auf einen gut gemachten Phishing-Versuch per E-Mail aufmerksam gemacht, der das Thema Multifactor-Authentifizierung (MFA) aufgreift. Dabei wird suggeriert, dass die Mail von Microsoft selbst stammt (es wird eine Sub-Domain von Microsoft benutzt) und die Leute agieren … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282576","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282576"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282576\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}