Über Microsofts Exchange Server verschickte ein Angreifer zahlreiche Phishing-E-Mails, um Kreditkartendaten seiner Opfer zu erbeuten.
Ein Hacker missbrauchte zahlreiche Microsoft Exchange Server, um darüber Phishing-E-Mails zu versenden, die ihre Opfer im Rahmen eines betrügerischen Gewinnspiels dazu bringen sollten, ihre Kreditkartendaten zu hinterlegen. Der Angreifer ging dabei sehr behutsam vor und schien bereits erfahren im Umgang mit Spam-E-Mail-Kampagnen zu sein.
“Der nicht autorisierte Zugriff auf den Cloud-Mieter ermöglichte es dem Akteur, eine bösartige OAuth-Anwendung zu erstellen, die einen bösartigen Inbound-Connector in den E-Mail-Server einfügte“, heißt es in dem
Diesen Inbound-Connector nutzte der Cyberkriminelle anschließend, “um Spam-E-Mails zu versenden, die so aussahen, als stammten sie von der Domäne der Zielpersonen.” Die E-Mails sollten ihre Empfänger schließlich dazu verleiten, sich im Rahmen eines vermeintlichen Gewinnspiels für ein kostenpflichtiges Abonnement zu registrieren und Kreditkartendaten zu hinterlegen.
Um die Abwehr zu umgehen und unentdeckt zu bleiben, löschte der Angreifer den Inbound-Connector und sämtliche Transportregeln zwischen den Spam-Kampagnen. Die OAuth-Anwendung hingegen blieb bestehen. Sie kam für die nächste Angriffswelle erneut zum Einsatz, um Konnektoren und Regeln auf dem Microsoft Exchange Server wiederholt hinzuzufügen.
“Der Akteur, der hinter diesem Angriff steht, führt seit vielen Jahren aktiv Spam-E-Mail-Kampagnen durch“, betonten die Microsoft-Forscher in ihrem Bericht. Innerhalb kurzer Zeit soll der Angreifer große Mengen an Spam-E-Mails mit anderen Methoden versendet haben. Beispielsweise indem er sich von betrügerischen IP-Adressen aus mit Mail-Servern verbunden hat oder direkt durch eine legitime Cloud-basierte Infrastruktur für den Massen-E-Mail-Versand.
Wie das Team mitteilt, habe Microsoft bereits alle zugehörigen Anwendungen vom Netz genommen. Betroffene Kunden habe man außerdem benachrichtigt, sodass diese entsprechende Maßnahmen einleiten können.
Tarnkappe.info
Ein Hacker missbrauchte zahlreiche Microsoft Exchange Server, um darüber Phishing-E-Mails zu versenden, die ihre Opfer im Rahmen eines betrügerischen Gewinnspiels dazu bringen sollten, ihre Kreditkartendaten zu hinterlegen. Der Angreifer ging dabei sehr behutsam vor und schien bereits erfahren im Umgang mit Spam-E-Mail-Kampagnen zu sein.
Vermeintliches Gewinnspiel sollte Kreditkartendaten einsammeln
Laut einem Bericht des Microsoft 365 Defender Research Teams hat sich ein Hacker durch Credential-Stuffing-Angriffe über bösartige OAuth-Anwendungen Zugang zu Exchange Servern verschafft, um darüber Phishing-E-Mails zu versenden. Der Angreifer nahm Administratorkonten ins Visier, die nicht durch eine Multi-Faktor-Authentifizierung (MFA) geschützt waren. Dadurch verschaffte er sich einen ersten Zugang.“Der nicht autorisierte Zugriff auf den Cloud-Mieter ermöglichte es dem Akteur, eine bösartige OAuth-Anwendung zu erstellen, die einen bösartigen Inbound-Connector in den E-Mail-Server einfügte“, heißt es in dem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
von Microsoft.Diesen Inbound-Connector nutzte der Cyberkriminelle anschließend, “um Spam-E-Mails zu versenden, die so aussahen, als stammten sie von der Domäne der Zielpersonen.” Die E-Mails sollten ihre Empfänger schließlich dazu verleiten, sich im Rahmen eines vermeintlichen Gewinnspiels für ein kostenpflichtiges Abonnement zu registrieren und Kreditkartendaten zu hinterlegen.
Um die Abwehr zu umgehen und unentdeckt zu bleiben, löschte der Angreifer den Inbound-Connector und sämtliche Transportregeln zwischen den Spam-Kampagnen. Die OAuth-Anwendung hingegen blieb bestehen. Sie kam für die nächste Angriffswelle erneut zum Einsatz, um Konnektoren und Regeln auf dem Microsoft Exchange Server wiederholt hinzuzufügen.
Microsoft-Forscher sprechen dem Angreifer jahrelange Spam-Erfahrung zu
Damit der Hacker eine größere Reichweite erzielen konnte, nutzte er eine nicht von Microsoft stammende Cloud-basierte Infrastruktur für ausgehende E-Mails. Hauptsächlich kamen die Dienste Amazon SES und Mail Chimp zum Einsatz. Diese Plattformen werden häufig für Marketing-Zwecke verwendet und erlauben daher mitunter den Versand von Massen-E-Mails.“Der Akteur, der hinter diesem Angriff steht, führt seit vielen Jahren aktiv Spam-E-Mail-Kampagnen durch“, betonten die Microsoft-Forscher in ihrem Bericht. Innerhalb kurzer Zeit soll der Angreifer große Mengen an Spam-E-Mails mit anderen Methoden versendet haben. Beispielsweise indem er sich von betrügerischen IP-Adressen aus mit Mail-Servern verbunden hat oder direkt durch eine legitime Cloud-basierte Infrastruktur für den Massen-E-Mail-Versand.
Wie das Team mitteilt, habe Microsoft bereits alle zugehörigen Anwendungen vom Netz genommen. Betroffene Kunden habe man außerdem benachrichtigt, sodass diese entsprechende Maßnahmen einleiten können.
Tarnkappe.info
