Das Mimecast Threat Center warnt vor einer neuen Art von servergesteuerten HTML (SHTML)-basierten Phishing-Angriffen. Der neu entdeckte Bug in Microsoft Word ermöglicht Angreifern, die Erkennung zu umgehen und Kontrolle über kompromittierte Systeme zu erlangen.
Mimecast Forscher untersuchen die Kampagne seit April 2019, die ihren Ursprung in Großbritannien hat.
Wenn Benutzer Anhänge der im Rahmen dieser Phishing-Kampagne versendete E-Mails öffnen, werden sie sofort an eine bösartige Website weitergeleitet. Dort finden Zahlungsaufforderungen statt, bei denen die Opfer ihre Nutzerdaten preisgeben sollen.
55 Prozent dieser Attacken wurden in Großbritannien registriert, 31 Prozent in Australien, elf Prozent in Südafrika und drei Prozent verteilen sich auf die restlichen Länder weltweit. In Großbritannien und Südafrika wird vor allem der Finanzsektor angesprochen, während in Australien Bildungseinrichtungen verstärkt ins Visier geraten.
Die SHTML-Seite enthät einen JS-Code mit einer getarnten Phishing-Seite, der von Webbrowsern automatisch geöffnet wird, sobald der Benutzer auf diese Datei klickt. Die Verschleierung macht es für Inhaltsanalysatoren viel schwieriger, die URLs zu finden und zu überprüfen, da sie in einen base64-String kodiert werden.
Der andere Trick der Cyberkriminellen ist der Einsatz der Erweiterung .shtml, die nicht sehr verbreitet ist und hauptsächlich für HTML-Dateien mit serverseitigen Includes verwendet wird; sowohl Windows- als auch macOS-Geräte können solche SHTML-Element über die gängigen Webbrowser öffnen.
Dieser Phishing-Angriff ist insofern einzigartig, da er SHTML-Dateianhänge verwendet, die sonst typischerweise für Webserver verwendet werden. Innerhalb des Dateiinhalts wurde der JavaScript-Code entdeckt.