Während Phishing- und Spearphishing-Angriffe versuchen, den Absender mit einer gefälschten Adresse zu täuschen, wird bei Angriffen über Antwortketten eine legitime E-Mail-Korrespondenzkette gekapert, um Malware in eine bestehende E-Mail-Konversation einzuschleusen. Ein Beispiel für diese Angriffe ist die Valak-Malware, welche jüngst von SentinelLabs-Forschern analysiert wurde.

Das Einschleusen von Malware über E-Mail-Antwortketten beginnt mit der Übernahme eines E-Mail-Kontos. Die Angreifer verwenden eine Methode wie Phishing, Brute Force oder Social Engineering für den Zugriff auf ein oder mehrere E-Mail-Konten und beginnen dann damit, Konversationen zu beobachten und auf die richtige Gelegenheit zu warten, um Malware oder bösartige Links an einen oder mehrere Teilnehmer einer laufenden Korrespondenzkette zu schicken.

Diese Technik ist besonders effektiv, da zwischen den Empfängern bereits ein Vertrauensverhältnis aufgebaut wurde. Der Bedrohungsakteur fügt sich weder selbst als neuer Korrespondent ein noch versucht er, die E-Mail-Adresse eines anderen zu fälschen. Vielmehr sendet der Angreifer seine mit Malware versehene Nachricht von dem echten Konto eines der Teilnehmer aus.

Da der Angreifer Zugriff auf den gesamten Thread hat, kann er seine böswillige E-Mail auf den Kontext einer laufenden Konversation abstimmen. Zusätzlich zu der Tatsache, dass der Empfänger dem Absender bereits vertraut, erhöht diese Vorgehensweise maßgeblich die Chance ein Opfer dazu zu bewegen, einen bösartigen Anhang zu öffnen oder auf einen gefährlichen Link zu klicken.

Welche Arten von Malware nutzen Antwortketten als Angriffsvektor?
Angriffe auf E-Mail-Antwortketten wurden zum ersten Mal im Jahr 2017 beobachtet. Im Jahr 2018 begannen auch Gozi ISFB/Ursnif Banking-Trojaner-Kampagnen mit dieser Technik, obwohl in einigen Fällen die Korrespondenzkette selbst nur gefälscht wurde, um die Legitimität zu erhöhen.

In anderen Fällen kompromittierten die Angreifer legitime Konten und nutzten sie sowohl zur Übernahme bestehender Threads als auch zu Spam-Attacken auf andere Empfänger. Bösartige Anhänge können VBScript und PowerShell über Office-Makros nutzen, um Workloads wie Emotet, Ursnif und andere Loader- oder Banking-Trojaner-Malware zu übertragen.

Massen-Spoofing-E-Mails werden oft mit Betreffzeilen oder Textnachrichten verschickt, die für die meisten Empfänger wenig aussagekräftigen Kontext aufweisen, was sofort Verdacht erregt. Bei E-Mail-Antwortketten-Angriffen können jedoch die üblichen Warnindikatoren fehlen.

Angriffe über E-Mail-Antwortketten sind oft sorgfältig ausgearbeitet und weisen keine Sprachfehler auf. Das bedeutet, dass selbst die vorsichtigsten und am besten ausgebildeten Mitarbeiter Gefahr laufen, Opfer dieser Art von Taktik zu werden.

Vier Möglichkeiten zur Prävention von Angriffen per E-Mail-Antwortkette

  • Da Antwortketten-Angriffe auf Konto-Kompromittierungen beruhen, sollte zuallererst sichergestellt werden, dass sich alle Mitarbeiter des Unternehmens die bewährten Sicherheitsverfahren befolgen. Dazu gehören Zwei- oder Mehrfaktor-Authentifizierung, eindeutige Passwörter für jedes Konto und Passwörter, die mindestens 16 Zeichen lang sind.
  • Zweitens sollte die Verwendung von Office-Makros beschränkt oder ganz verboten werden, wo immer dies möglich ist. Obwohl dies nicht die einzigen Mittel sind, mit denen böswillige Anhänge ein Gerät kompromittieren können, bleiben Makros ein üblicher Angriffsvektor.
  • Das Einführen von Security Awareness Trainings kann eine große Hilfe dabei sein, Angestellte im Hinblick auf Gefahren durch Phishing zu schulen. E-Mail-Benutzer müssen ihr Bewusstsein dafür schärfen, wie Phishing-Angriffe funktionieren und wie die Angreifer ihre Techniken weiterentwickeln.
  • Außerdem – und dieser Punkt ist am wichtigsten – sollte sichergestellt werden, dass alle Endpunkte mit einer modernen, vertrauenswürdigen EDR-Sicherheitslösung geschützt sind, die die Ausführung von in Anhängen oder Links verstecktem bösartigem Code stoppen kann, bevor er Schaden anrichtet.

Weitere Beiträge....