Thought Leadership
Sicherheitsforscher des Anbieters Fortra verfolgen „Strox“. Dabei handelt es sich um eine der beliebtesten Phishing-Aktionen der letzten zwei Jahre.
Benutzer des Phishing-Kits können ganz einfach Phishing-Kampagnen erstellen, indem sie das Logo der Marke, für die sie sich ausgeben wollen, einreichen.
Berichten zufolge sind die Macher hinter der Phishing-as-a-Service (PaaS)-Malware seit Juni 2021 aktiv und boten ursprünglich Betrugsseiten an, die elf Finanzinstitute in den USA imitierten. Nach einer rückwirkenden Untersuchung der Phishing-Aktivitäten haben die Sicherheitsforscher Kampagnen identifiziert, die Malware-Inhalte bereits im November 2021 eingesetzt haben. Seit dem ursprünglichen Start der Plattform hat Strox nur eine weitere Marke in die Liste der verfügbaren Phishing-Kits aufgenommen. Der Dienst bietet jedoch eine Funktion zur Seitenanpassung, die es Bedrohungsakteuren ermöglicht, Phishing-Kampagnen für jede beliebige Marke zu erstellen, indem sie Bilder und Texte bearbeiten.
Im Darknet konnten zwölf Phishing-Kits gefunden werden, die für jeweils 90 US-Dollar verkauft wurden. Der Kauf eines dieser Kits beinhaltet einen einzigartigen API-Schlüssel, der dem Käufer eine kontinuierliche Weiterentwicklung und Aktualisierung des Seiteninhalts und der Antibot-Informationen verspricht.
Cyberkriminelle können sich Demo-Phishing-Seiten ansehen, bevor sie sie für den Einsatz kaufen und können anpassen, welche Seiten aktiv sind, wenn ein Angriff live ist. Bei allen verfügbaren Kits wird die Sprache der Phishing-Inhalte automatisch an die ausgewählte Sprache des Browsers des Opfers angepasst. Der Dienst gibt an, dass über 230 Sprachen verfügbar sind. Die Kits sind benutzerfreundlich und hochgradig automatisiert, sodass die Benutzer mehrere Phishing-Kampagnen gleichzeitig durchführen können.
Alle angebotenen Betrugs-Kits enthalten ein Echtzeit-Admin-Panel, mit dem aktive Angriffe kontrolliert und überwacht werden können. Die Protokollierung von Informationen auf den Seiten bietet einen Live-Überblick auf die Anzahl der Personen, die sich derzeit Phishing-Inhalte ansehen und auf die Aktionen, die durchgeführt werden. Diese Funktion wird auch bei Man-in-the-Middle-Angriffen genutzt, um Zwei-Faktor-Authentifizierungscodes zu erhalten und zusätzliche Sicherheitsüberprüfungen zu umgehen. Wenn der Bedrohungsakteur keine Zeit hat, um Phishing-Angriffe zu überwachen, kann er sich dafür entscheiden, Phishing-Angriffe in einen Ruhezustand zu versetzen. Damit kann verhindert werden, dass Seiten entdeckt werden, wenn sie ungenutzt sind.
Das Kit ist ein weiteres Beispiel für immer professionellere und komplexere Phishing Angebote im Darkweb. Gerade die genannten Angriffe auf zwei Faktor Authentifizierung sind derzeit auf einem neuen Hoch. So hat KnowBe4 selbst einen Anstieg im zweistelligen Prozentbereich für QR-Code basierte Angriffe auf Multi-Faktor-Authentifizierung seit September beobachten können. Angreifer passen ihre Vorgehensweisen immer wieder den neuen Verteidigungsmechanismen der Organisationen an, sodass alle technischen Schutzmaßnahmen ausgehebelt werden.
