
Microsoft Defender-Experten haben eine Phishing-Operation aufgedeckt, die es auf Unternehmen abgesehen hat, indem sie sich als routinemäßige Arbeitsaktivität ausgibt. Wir haben kürzlich gesehen, dass OAuth für Phishing-Angriffe missbraucht wurde, und jetzt sind Hacker dazu übergegangen, legitime Zertifikate zu missbrauchen, um Zugriff auf Ihren PC zu erhalten.
Opfer erhalten E-Mails, die Einladungen zu Besprechungen, PDFs oder bekannten Download-Aufforderungen ähneln, und die Links geben vor, Apps wie Microsoft Teams, Zoom, Google Meet oder Adobe Reader zu aktualisieren. Wenn ein Benutzer klickt, kommt der Download als gefälschter Installer an, der Malware als legitimes Update tarnt.
Ein echtes EV-Zertifikat, erhalten von einer gefälschten Firma
Die Kampagne basiert auf digital signierten Schaddateien, was ihnen auf den ersten Blick eine Vertrauensebene verleiht. Die Malware enthielt ein missbrauchtes Extended Validation (EV)-Zertifikat, das an ein Unternehmen namens TrustConnect Software PTY LTD ausgestellt wurde, und EV-Zertifikate profitieren tendenziell von strengeren Identitätsprüfungen und stärkeren Reputationssignalen.
Die Ermittler kamen zu dem Schluss, dass die Angreifer das Zertifikat nicht gestohlen hatten, weil sie stattdessen eine gefälschte Firmenidentität erstellt, eine überzeugende KI-generierte Website erstellt und dann rechtmäßig das EV-Zertifikat erworben hatten, um ihre Nutzlasten zu signieren.
Persistenz unter Windows, dann Fernzugriff über legitime RMM-Tools
Nach der Ausführung stellt die Malware eine Persistenz in Windows her, indem sie sich in den Programmdateien ablegt, sich als Windows-Dienst registriert und einen Registrierungsschlüssel „Ausführen“ hinzufügt. Anschließend wird die verschlüsselte PowerShell gestartet, um legitime Fernüberwachungs- und -verwaltungstools zu installieren, darunter ScreenConnect, Tactical RMM und Mesh Agent.
Diese Tools kommen häufig in realen Unternehmensumgebungen zum Einsatz, sodass sich die Aktivitäten des Angreifers in normale IT-Verkehrsmuster einfügen können. Außerdem installieren die Betreiber häufig mehrere RMM-Agenten, sodass sie weiterhin Zugriff haben, wenn Verteidiger einen entfernen.
MaaS-Monetarisierung und warum der Widerruf das Problem nicht vollständig gelöst hat
Forscher sagen, dass die Akteure den Betrieb auf Malware-as-a-Service umgestellt haben und signierte Malware plus unterstützende Infrastruktur für etwa 300 US-Dollar pro Monat in Kryptowährung vermieten. Proofpoint und The Cert Graveyard arbeiteten daran, das EV-Zertifikat am 6. Februar zu widerrufen, der Widerruf erfolgte jedoch nicht rückwirkend, sodass bereits mit diesem Zertifikat signierte Malware auch nach dem Widerruf für Windows noch gültig erscheinen kann.
DocConnect erscheint als nächste Weiterentwicklung
Die Angreifer haben damit begonnen, eine neuere Variante namens DocConnect zu testen, die Berichten zufolge verbesserte Bedienfelder, bessere Echtzeitkommunikation und gefälschte Windows Update-Bildschirme umfasst, die die Opfer dazu bringen sollen, dem Flow zu vertrauen.
Forscher warnen davor, dass die Kampagne weiterhin aktiv ist, und fordern Organisationen dazu auf, unerwartete Download-Aufforderungen und „Aktualisierungs“-Links als risikoreich zu betrachten, selbst wenn die Dateien ordnungsgemäß signiert aussehen.
Microsoft hat ein neues Onboarding-Erlebnis für Defender Deployment vorgestellt, und Forscher haben außerdem eine Phishing-Kampagne entdeckt, die sich als die Sicherheits-Website von Google ausgibt.
Über Neowin
*️⃣ Quelllink:
Microsoft Defender-Experten, OAuth wurde für Phishing-Angriffe missbraucht, neue Defender Deployment-Onboarding-Erfahrung, Nachahmung der Sicherheitswebsite von Google, Neowin ,