Thought Leadership
Das Expertenteam der Threat Fusion Cell (TFC) von BlueVoyant hat eine ausgeklügelte Phishing-Kampagne aufgedeckt, die unter dem Namen „Iberian Infiltrator” läuft. Diese Kampagne zielt speziell auf spanische Firmen ab und beinhaltet den Versand von E-Mails mit Schadsoftware.
Ein besonderes Merkmal der Angriffe ist die Verwendung des Malware-Typs „Agent Tesla“, einem seit 2014 aktiven Fernzugriffstrojaner, der auf Systemen basierend auf Microsoft Windows operiert und global für Angriffe genutzt wird.
Technische Einblicke in die Angriffsstrategie
Die Kampagne Iberian Infiltrator beginnt ihre Angriffswelle mit dem Versand von Spear-Phishing-E-Mails, die so gestaltet sind, dass sie den Anschein erwecken, von etablierten und vertrauenswürdigen spanischen Unternehmen wie Ofitec S.A., Banco Santander und Santander Factoring y Confirming zu stammen. Diese E-Mails sind in perfektem Spanisch verfasst, was ihnen zusätzliche Glaubwürdigkeit verleiht. Sie thematisieren alltägliche geschäftliche Angelegenheiten wie Rechnungen oder Bankmitteilungen, die speziell darauf ausgelegt sind, die Aufmerksamkeit der Empfänger zu wecken, insbesondere der Mitarbeiter in sensiblen Abteilungen wie der Buchhaltung.
Dabei enthalten die betrügerischen Nachrichten Anhänge mit harmlos wirkenden Bezeichnungen, die scheinbar wichtige Dokumente für den Geschäftsalltag beinhalten. In Wirklichkeit verbirgt sich in diesen Anhängen die Schafsoftware Agent Tesla, ein gefährlicher Fernzugriffstrojaner. Sobald ein Mitarbeiter den Anhang öffnet, wird die Malware aktiviert. Sie beginnt sofort nach ihrer Installation, vertrauliche Informationen zu sammeln. Dazu gehören Tastatureingaben, durch die Passwörter und andere kritische Daten erfasst werden können, sowie Anmeldeinformationen, die den Angreifern Zugang zu weiteren Systemen und Netzwerken ermöglichen.
Geografischer Fokus und Motivation der Angreifer
Die Analyse zeigt, dass Agent Tesla spezifische Anpassungen für spanischsprachige Nutzer aufweist, was auf eine gezielte Strategie gegenüber Spanien hinweist. Die betroffenen Branchen reichen von der verarbeitenden Industrie bis zum Finanzsektor. Tatsächlich scheint kein spezifischer Sektor im Fokus zu stehen, sondern vielmehr wird eine breite Palette von Unternehmen Ziel der Angriffe. Die primären Motive der Kampagne scheinen finanzieller Natur zu sein – die Angreifer bereichern sich entweder durch den Verkauf gestohlener Daten auf kriminellen Märkten oder durch eine anderweitige Nutzung der Daten für kriminelle Zwecke.
Empfohlene Schutzmaßnahmen
Um Bedrohungen wie der „Iberian Infiltrator“-Kampagne effektiv entgegenzuwirken, ist ein mehrschichtiger Sicherheitsansatz entscheidend. Dazu zählen regelmäßige Schulungen zur Sensibilisierung für E-Mail-Sicherheit, der Einsatz robuster E-Mail-Filter und aktueller Antivirenprogramme auf allen Endgeräten und eine Echtzeit-Malware-Erkennung durch EDR-Systeme. Weiterhin sind die kontinuierliche Überwachung des Netzwerkverkehrs, die Durchsetzung strenger Passwortrichtlinien, die Implementierung von Multi-Faktor-Authentifizierung und regelmäßige Datensicherungen unabdingbar, um die Sicherheit zu erhöhen und im Falle eines erfolgreichen Angriffs eine schnelle Widerherstellung der Systeme zu ermöglichen. Unternehmen sollten zudem besonders wachsam gegenüber potenzieller Spear-Phishing-Mails sein, die in spanischer Sprache verfasst sind, sich als bekannte Marken ausgeben, schädliche Anhänge beinhalten und von einer verdächtigen Infrastruktur ausgehen.
www.bluevoyant.com
