Vom iranischen Staat geförderte Hacker haben sich einen neuen schäbigen Trick einfallen lassen, um Menschen dazu zu bringen, bösartige Anhänge herunterzuladen, warnen Forscher.
Cybersicherheitsexperten von Proofpoint gefunden (öffnet in neuem Tab) Der TA453-Bedrohungsakteur, der angeblich mit dem Korps der Islamischen Revolutionsgarde (IRGC) verbunden ist, betreibt „Multi-Persona-Imitation“ oder „Sockenpuppenspiel“, um Opfer dazu zu bringen, Malware herunterzuladen.
Mit anderen Worten, sie führen E-Mail-Gespräche mit sich selbst, während sie die Opfer an den Seiten mithören lassen, bevor sie sie dazu verleiten, eine Datei herunterzuladen, die ihnen nicht einmal unbedingt gesendet wurde.
Ein Gespräch vortäuschen
So funktioniert es: Die Bedrohungsakteure erstellen mehrere gefälschte E-Mail-Konten und stehlen die Identitäten (öffnet in neuem Tab) von Wissenschaftlern, Direktoren und anderen hochkarätigen Persönlichkeiten. Dann schickten sie eine E-Mail von einer der Adressen an die andere und setzten dabei das Opfer auf CC. Ein oder zwei Tage später antworteten sie auf diese E-Mail von der zweiten Adresse, die auch ihnen gehört.
Auf diese Weise könnte das Opfer, das im Wesentlichen mitten in einem E-Mail-Thread gefangen ist, seine Wachsamkeit verringern und ein falsches Gefühl der Legitimität über die ganze Sache bekommen. Nach kurzem Hin und Her würde einer der Teilnehmer einen Anhang an andere Teilnehmer senden, und das Opfer sollte ihn herunterladen und auf seinen Endpunkten ausführen (öffnet in neuem Tab)würden sie eine .DOCX-Datei erhalten, die mit gefährlichen Makros gefüllt ist.
Das größte Warnsignal dieser Kampagne ist die Tatsache, dass alle bei dem Angriff verwendeten E-Mails auf großen E-Mail-Anbietern wie Gmail, Outlook oder Hotmail erstellt wurden, anstatt sich auf den Domänen der imitierten Institutionen zu befinden.
„Die heruntergeladene Vorlage, die von Proofpoint Korg genannt wird, hat drei Makros: Module1.bas, Module2.bas und ThisDocument.cls“, erklärten die Forscher. „Die Makros sammeln Informationen wie den Benutzernamen, die Liste der laufenden Prozesse zusammen mit der öffentlichen IP des Benutzers von my-ip.io und exfiltrieren diese Informationen dann mithilfe der Telegram-API.“
Obwohl sie es nicht verifizieren konnten, glauben die Forscher, dass die Bedrohungsakteure später weitere Ausbeutungen vornehmen.