Cyberkriminelle nutzen zunehmend Microsoft Teams, um Vishing-Angriffe durchzuführen, die auf den Zugriff auf die Systeme der Benutzer abzielen. Trend Micro gemeldet ein konkreter Vorfall, bei dem es um eine Reihe von Phishing-E-Mails ging, gefolgt von einem betrügerischen Microsoft Teams-Anruf. Die Betrüger gaben vor, technischen Support anzubieten, und manipulierten ein Opfer dazu, Fernzugriffssoftware herunterzuladen.
Cyberkriminelle nutzen Microsoft Teams für Vishing-Angriffe
Der Angriff begann mit einer Flut von Phishing-E-Mails, die auf den Posteingang des Opfers abzielten. Kurz nach diesem ersten Kontakt startete der Angreifer einen Anruf über Microsoft Teams und gab sich dabei als Mitarbeiter eines Unternehmens aus, dem das Opfer vertraute. Während dieses Anrufs forderte der Cyberkriminelle das Opfer auf, eine Remote-Support-Anwendung zu installieren. Der ursprüngliche Vorschlag war Microsoft Remote Support, aber als bei der Installation Probleme auftraten, griff der Angreifer auf AnyDesk um, ein Remote-Desktop-Tool, das häufig von böswilligen Akteuren ausgenutzt wird.
AnyDesk gehackt, setzen Sie Ihre Passwörter sofort zurück
Sobald AnyDesk auf dem Computer des Opfers installiert war, erlangte der Angreifer die Kontrolle darüber. Anschließend verteilten sie verschiedene verdächtige Dateien, darunter eine mit der Bezeichnung Trojan.AutoIt.DARKGATE.D. Diese über ein AutoIt-Skript übermittelte Malware ermöglichte es dem Angreifer, bösartige Befehle auszuführen und die Fernkontrolle über das System zu behalten. Der Angreifer führte mehrere Befehle aus, die detaillierte Informationen über das System des Opfers sammelten, indem er Befehle wie systeminfo, route print und ipconfig /all verwendete, die die gesammelten Daten in einer Datei mit dem Namen 123.txt speicherten.
Nachdem der Angreifer über AnyDesk Zugriff erhalten hatte, unternahm er weitere böswillige Aktionen und nutzte Techniken, um der Entdeckung zu entgehen. Beispielsweise wurden AutoIt-Skripte verwendet, um auf dem System vorhandene Antivirensoftware zu identifizieren und zu umgehen. Darüber hinaus wurden schädliche Dateien heimlich heruntergeladen und in versteckte Verzeichnisse extrahiert, wodurch die Wahrscheinlichkeit einer Entdeckung verringert wurde. Darunter befand sich eine Datei namens SystemCert.exe, die zusätzliche Skripte und ausführbare Dateien in temporären Ordnern erstellte und weitere böswillige Aktivitäten ermöglichte.
Glücklicherweise konnte der Angriff vereitelt werden, bevor sensible Daten herausgefiltert wurden. Die Untersuchung ergab, dass dem Opfer keine wichtigen Informationen gestohlen wurden, obwohl sich die Hacker Zugriff verschafften und persistente Dateien und Registrierungseinträge hinterließen. Dieser Vorfall unterstreicht die dringende Notwendigkeit verstärkter Sicherheitsmaßnahmen innerhalb von Organisationen, um sich gegen solch komplexe Bedrohungen zu verteidigen.
Best Practices zur Bekämpfung von Vishing-Angriffen
Unternehmen müssen umfassende Strategien entwickeln, um die mit Vishing-Angriffen verbundenen Risiken zu mindern. Es ist wichtig, zunächst die Behauptungen von Drittanbietern des technischen Supports zu überprüfen. Mitarbeiter sollten ihre Zugehörigkeit bestätigen, bevor sie Zugriff gewähren, was das Risiko einer Manipulation durch Cyberkriminelle verringert.
Die Kontrolle des Zugriffs auf Remote-Support-Tools ist ein weiterer wichtiger Aspekt einer robusten Sicherheitslage. Unternehmen sollten die Implementierung von Whitelists für zugelassene Tools wie AnyDesk in Betracht ziehen und Richtlinien zur Multi-Faktor-Authentifizierung durchsetzen, um die Sicherheit zu erhöhen. Dieser Schritt fügt eine notwendige Schutzebene hinzu, um unbefugten Zugriff zu verhindern.
Mitarbeiterschulungen sind von größter Bedeutung, um das Bewusstsein für Social-Engineering-Taktiken, einschließlich Phishing und Vishing, zu schärfen. Die Schulung der Mitarbeiter im Erkennen dieser Bedrohungen ist von entscheidender Bedeutung, um ihre Anfälligkeit für zukünftige Angriffe zu minimieren. Die Schulungen sollten sich auf die spezifischen Techniken konzentrieren, die Cyberkriminelle verwenden, sowie auf praktische Schritte zur Gewährleistung der Sicherheit.
Hervorgehobener Bildnachweis: Dimitri Karastelev/Unsplash
