Phishing-Kampagne in deutscher Automobilbranche
Die deutsche Automobilbranche ist in den Fokus einer großangelegten Phishing-Kampagne geraten, wie Sicherheitsforscher von Check Point berichten.
Ein Moment Ihrer Zeit für die Wahrheit.
In einer Welt voller Fehlinformationen und Fake News ist es unser Auftrag bei Mimikama.org, Ihnen zuverlässige und geprüfte Informationen zu liefern. Tag für Tag arbeiten wir daran, die Flut an Desinformation einzudämmen und Aufklärung zu betreiben. Doch dieser Einsatz für die Wahrheit benötigt nicht nur Hingabe, sondern auch Ressourcen. Heute wenden wir uns an Sie: Wenn Sie die Arbeit schätzen, die wir leisten, und glauben, dass eine gut informierte Gesellschaft für die Demokratie essentiell ist, bitten wir Sie, über eine kleine Unterstützung nachzudenken. Schon mit wenigen Euro können Sie einen Unterschied machen.
Stellen Sie sich vor, jeder, der diese Zeilen liest, würde sich mit einem kleinen Beitrag beteiligen – gemeinsam könnten wir unsere Unabhängigkeit sichern und weiterhin gegen Fehlinformationen ankämpfen.
So kannst Du unterstützen:
PayPal: Für schnelle und einfache Online-Zahlungen.
Steady oder Patreon: für regelmäßige Unterstützung.
Ziel der Phishing-Angriffe, die dem Bericht nach seit Juli 2021 laufen, ist es, die Systeme der Opfer mit einer Malware zu infizieren, die Passwörter stiehlt. Betroffen ist den Erkenntnissen der Sicherheitsforscher von Check Point zufolge die Automobilbranche, dabei sowohl Autohersteller und -zulieferer als auch Autohäuser. (HIER)
Deutsche Autos sehr beliebt
Deutsche Autos sind allen Skandalen der letzten Jahre zum Trotz immer noch weltweit beliebt. Hinzu kommen die steigenden Preise für Gebrauchtwagen, seit sich auch in der Automobilbranche stockende Lieferketten und knappe Rohstoffe bei den Lieferzeiten für Neuwagen bemerkbar machen.
Raffinierte Phishing-Kampagne
Für ihre Phishing-Kampagne haben die Kriminellen verschiedene Webseiten von echten Unternehmen nachgebaut, über die sie ihre Phishing-E-Mails verschicken. Zusätzlich wird dort die Malware-Payload gehostet, die von den Opfern unwissentlich heruntergeladen werden soll. Zu Beginn des Angriffs erhält das Opfer eine E-Mail mit einer ISO-Disk-Image-Datei, die das Speicherabbild des Dateisystems einer CD oder DVD enthält, in einem bestimmten Format strukturiert ist und wiederum eine .HTA-Datei beinhaltet, die die Ausführung von JavaScript- oder VBScript-Code über HTML-Schmuggel ermöglicht.
Vorsicht bei Emails
Als Beispiel zeigen die Sicherheitsforscher eine E-Mail, die vorgibt, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten. Gleichzeitig wird darum gebeten, den Erhalt zu bestätigen und weitere Unterlagen wie Fahrzeugpapiere und TÜV für das genannte Auto zu übersenden. Öffnet man den Anhang, wird im Hintergrund eine weitere Datei geöffnet, die die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wird. Das Opfer selbst sieht dabei nur ein Dokument, das scheinbar genau das ist, was es sein soll, also im Beispiel ein Kaufvertrag über ein Auto.
Neue variable Vorgehensweise
Laut Check Point wurden bei der genaueren Untersuchung der neuen Vorgehensweise mehrere Versionen dieser Skripte gefunden, die unterschiedliche Aktionen ausführen. Manche lösen PowerShell-Code aus, manche sind gut verborgen und andere wiederum im Klartext sichtbar. Alle laden verschiedene Malware und Spyware herunter, die zumeist als Malware as a Service im Darknet verfügbar sind, darunter Raccoon Stealer, AZORult und BitRAT. In einer späteren Version der Kampagne beobachteten die Sicherheitsforscher außerdem, dass ein PowerShell-Code ausgeführt wird, bei dem das Opfer nicht mehr dazu gebracht werden muss, Makros zu aktivieren, da die Malware die entsprechenden Änderungen in Microsoft Office selbst vornimmt.
Starke Hinweise auf iranisches Hackerkollektiv
Laut Check Point sind mindestens 14 Opfer der Kampagne in Deutschland bekannt, die alle in Verbindung zur Automobilbranche stehen. Konkrete Namen werden jedoch nicht genannt. Auch wer hinter den Angriffen steckt, lässt sich noch nicht mit völliger Sicherheit sagen, doch es besteht zumindest ein Anfangsverdacht, dass es sich um eine Hackergruppe aus dem Iran handelt. So wurden die Payloads der Malware auf einer Webseite gehostet, die von einer Persona aus dem Iran registriert wurde. Hinzu kommen wahrscheinliche Verbindungen zu einer anderen Phishing-Kampagne, die auf Kunden der Santander Bank abzielte und bei einem iranischen Internet Service Provider gehostet wurde. Das legt den Schluss nahe, dass es sich um eine Hackergruppe aus dem Iran handelt, ein endgültiger Beweis dieser Schlussfolgerung steht allerdings noch aus.
Angriffsziele noch unklar
Auch zu den Zielen der Angreifer lässt sich noch keine abschließende Äußerung abgeben. Wahrscheinlich handelt es sich sowohl um Industriespionage als auch um einen Fall von Business E-Mail Compromise (BEC) oder CEO Fraud. Das ist eine Betrugsmasche, bei der die Angreifer sich als Vorgesetzter ausgeben und so die Opfer dazu bringen, Gelder schnell und ohne Kontrolle zu überweisen. Dafür spricht auch, dass die bisher verschickten E-Mails Raum für weitere Kontaktaufnahmen lassen, was dem falschen CEO bei einer solchen Masche zusätzliche Glaubwürdigkeit verleiht.
Das könnte dich auch interessieren: Achtung vor: „Legitimation der Online-Banking-App“
Quelle: Pressebox
FAKE NEWS BEKÄMPFEN
Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!
Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️
Mimikama-Webshop
Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.
Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.
Link: Mimikamas WhatsApp-Kanal
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama
Mehr von Mimikama
Mimikama Workshops & Vorträge: Stark gegen Fake News!
Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.