Sicherheitsforscher von GreatHorn warnen aktuell davor, dass eine neue Phishing-Kampagne Redirect-Domains verwendet, um E-Mail-Sicherheitsfilter zu umgehen. Offene Umleitungen ermöglichen es Angreifern, eine URL einer nicht bösartigen Website zu verwenden und daran eine Umleitung anzuheften, die den Benutzer beim Anklicken des Links zu einer Phishing-Seite weiterleitet.
Bösartige Links, die über Phishing-E-Mails an reguläre Benutzer weltweit zugestellt werden, umgehen die nativen Sicherheitskontrollen ihrer E-Mail-Provider und schlüpfen an fast jeder älteren E-Mail-Sicherheitsplattform auf dem Markt vorbei. Aufgrund der Ähnlichkeiten zwischen den Phishing-E-Mails und den bösartigen Websites glauben die Sicherheitsforscher, dass ein einziger Akteur hinter der Kampagne steht.
Die URLs in den Phishing-E-Mails, die an die Benutzer gesendet werden, variieren. Einige verwenden Umleitungen, andere verweisen direkt auf die Seiten des Phishing-Kits. Das Phishing-Kit selbst verwendet in fast allen Fällen die gleiche Namensstruktur.
Der URL-Pfad variiert jedoch bei den einzelnen Nachrichten als Teil einer gemeinsamen Taktik, mit der einfache Blockierungsregeln umgangen werden, die verhindern, dass diese Nachrichten die Benutzer erreichen. Die Phishing-Seiten sind darauf ausgelegt, Anmeldeinformationen zu stehlen, aber sie enthalten auch JavaScript, das Malware auf dem Computer des Opfers installiert.
Die Phishing-Webseiten geben sich als Microsoft Office 365-Anmeldung aus, verwenden das Microsoft-Logo und fordern die Benutzer auf, ihr Passwort einzugeben, ihr Konto zu verifizieren oder sich anzumelden. Angesichts der Breite und der sehr zielgerichteten Art dieser Kampagne, lassen die Raffinesse und Komplexität darauf schließen, dass die Angreifer erhebliche koordinierte Anstrengungen unternehmen.
Das Threat Intelligence-Team beschrieb diese Kampagne als umfassenden und mehrgleisigen Angriff, bei dem mehrere Hosting-Dienste und Webserver verwendet werden, um betrügerische Anmelde-Seiten von Office 365 zu hosten.