Mimecast Logo
Angebot einholen

    Phishing-Kampagne zur Mitarbeiterprämienplattform „Awardco“

    18. August 2025

    Von Hiwot Mendahun, Ankit Gutpa und dem Mimecast Threat Research Team

    Wichtige Punkte
    • Seit Mai 2025 läuft eine mehrmonatige Kampagne, bei der sich die Angreifer als Mitarbeiter der Prämienplattform „Awardco“ ausgeben und ganze Unternehmen ins Visier nehmen
    • Ausgeklügelte Umgehungsmethoden unter Verwendung mehrerer Weiterleitungsketten, legitimer Sicherheits-URL-Lösungen und verschiedener Bereitstellungsmethoden, darunter QR-Codes
    • Die Kampagne nutzt die allgemeine Erwartung der Mitarbeiter hinsichtlich der Kommunikation im Rahmen von Prämienprogrammen, um die Reichweite zu maximieren
    • Zuordnung zu der intern erfassten Bedrohungsoperation MCT03028, die über beträchtliche Ressourcen verfügt und deren Techniken sich ständig weiterentwickeln

    Kampagnenübersicht

    Hiwot Mendahun, Ankit Gupta und das Mimecast Threat Research-Team haben eine umfangreiche, über mehrere Monate andauernde Kampagne aufgedeckt, die sich gegen Unternehmen richtet, indem sie sich als „Awardco“ ausgibt – eine weit verbreitete Plattform für Mitarbeiterprämien und -anerkennung. Diese Kampagne wird einer Bedrohungsaktion zugeschrieben, die intern unter der Kennung MCT03028 erfasst wurde, und stellt eine erhebliche Herausforderung im Hinblick auf das Personalrisiko dar, da sie die allgemeine Erwartung ausnutzt, dass Mitarbeiter Mitteilungen über Belohnungen, Sozialleistungen und Anerkennungsprogramme am Arbeitsplatz erhalten.

    Im Gegensatz zu gezielten Angriffen, die sich auf bestimmte Funktionen oder Abteilungen konzentrieren, können Angreifer, die sich als Awardco ausgeben, effektiv ganze Unternehmen ins Visier nehmen, da in der Regel alle Mitarbeiter mit Prämienplattformen interagieren und damit rechnen, entsprechende Benachrichtigungen zu erhalten. Seit Mai 2025 haben die Angreifer bemerkenswerte Beharrlichkeit und Raffinesse an den Tag gelegt, indem sie verschiedene kompromittierte Konten, mehrere Weiterleitungsdienste und vielfältige Verbreitungsmethoden nutzten, um die Wirksamkeit ihrer Kampagnen aufrechtzuerhalten. Die Angriffe nutzen das Vertrauen aus, das Mitarbeiter von Natur aus in legitime Mitteilungen zu betrieblichen Sozialleistungen setzen, was dies aus Sicht des human risk management besonders gefährlich macht. Mitarbeiter erwarten selbstverständlich Informationen zu Prämienprogrammen, Leistungsanerkennungen und Änderungen bei den Sozialleistungen, was für Angreifer eine ideale Gelegenheit für Social-Engineering-Angriffe darstellt.

    Die Kampagnen haben sich im Laufe der vier Monate weiterentwickelt, was die Anpassungsfähigkeit der Angreifer und die ihnen zur Verfügung stehenden Ressourcen verdeutlicht. Die Aktion, die ursprünglich auf einfache Weiterleitungen über kompromittierte Domains zurückgriff, hat sich weiterentwickelt und umfasst nun ausgeklügelte mehrstufige Weiterleitungsketten, Mechanismen zur Verbreitung von QR-Codes, die Verbreitung per SMS sowie den Missbrauch legitimer Sicherheitsdienste.

    Awardco Phishing 1.png

    Awardco Phishing 2.png

    Awardco Phishing 3.png

    Diese Entwicklung deutet auf eine gut ausgestattete Cyberbedrohungsgruppe hin, die über kontinuierliche Entwicklungsfähigkeiten verfügt. Die psychologische Wirksamkeit dieser Kampagne beruht darauf, dass sie legitime Abläufe am Arbeitsplatz nutzt. Im Gegensatz zu verdächtigen externen Mitteilungen scheinen die Benachrichtigungen von Awardco aus erwarteten Geschäftsprozessen zu stammen, was das Misstrauen der Mitarbeiter deutlich verringert und die Interaktionsraten erhöht.

    Technische Analyse

    Die Angreifer haben im Verlauf der Kampagnen verschiedene Varianten von Weiterleitungsketten eingesetzt und damit ihre ausgefeilten Fähigkeiten zur Umgehung von Sicherheitsmaßnahmen unter Beweis gestellt. Im Folgenden finden Sie ein Beispiel vom 1. August 2025, bei dem insgesamt 9 Weiterleitungen verwendet wurden, darunter eine CAPTCHA-Seite vor der endgültigen Phishing-Seite.

    Awardco Phishing 4

    Die Kampagnen weisen durchgängige technische Muster auf, darunter Base64-Kodierung, den Missbrauch legitimer Dienste (AWS SES, Sophos, Google Sites) sowie den strategischen Einsatz kompromittierter Business Email-Konten zur Steigerung der Glaubwürdigkeit. Die Angreifer bevorzugen Amazon-SES-Konten, die wahrscheinlich kompromittiert wurden, wobei sie zur Verbreitung teilweise auch Office-365-Konten nutzen.

    Mimecast-Schutz

    Mimecast hat eine Erkennungsfunktion für Betrugsversuche unter dem Deckmantel von Awardco implementiert. Unser Team für Bedrohungsforschung beobachtet weiterhin Veränderungen bei den Taktiken und Techniken dieser Angreifer, um sicherzustellen, dass unsere Kunden auch vor sich weiterentwickelnden Angriffsvektoren geschützt bleiben.

    Indikatoren für eine Kompromittierung (IOCs)

    Missbrauch der Weiterleitungsinfrastruktur:

    • c.podium.co – Klick-Tracking-Dienst von Podium
    • sites.google.com – Google Sites
    • sales-engage.com – HubSpot Sales Engage-Dienst
    • eu-central-1.protection.sophos.com – Sophos-Link-Umschreibungsdienst
    • 86nxjchv.r.us-east-1.awstrack.me – AWS-Sendungsverfolgung
    • mop.bz – URL-Kürzungsdienst

    Phishing-Seiten, die auf folgenden Servern gehostet werden:

    • Soundorama[.]com/index[.]html
    • Soundorama[.]com/lol[.]html
    • tuicorp[.]com/awardco[.]html
    • capnco[.]com/go/iex[.]html

    Telefonnummern:

    • (417) 397-7374 (Zustellung per SMS)

    Themen

    • Ihre eGift-Karte im Wert von 400 US-Dollar läuft heute ab
    • Awardco: Benachrichtigung zum Verfall von 200-Dollar-Punkten
    • DRINGEND: Der Administratorzugang für Awardco läuft in 5 Stunden ab
    • Herzlichen Glückwunsch!!!

    Empfehlungen

    Maßnahmen zur E-Mail-Sicherheit

    • Analysieren Sie komplexe Weiterleitungsketten und stellen Sie sicher, dass Sie vollständige Abläufe über mehrere legitime Dienste hinweg nachvollziehen können
    • Implementieren Sie spezifische Erkennungsregeln für AWS-SES-Missbrauchsmuster in Verbindung mit Themen rund um Mitarbeiterleistungen und dem Awardco-Branding
    • Setzen Sie eine Echtzeit-QR-Code-Analyse ein, um darin eingebettete Phishing-Links und verdächtige Weiterleitungsmuster zu erkennen

    Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen

    • Klären Sie alle Mitarbeiter über die Risiken von Identitätsbetrug im Zusammenhang mit Awardco auf und betonen Sie dabei, dass es sich um allgemeine Angriffe handelt und nicht um rollenspezifische Bedrohungen.
    • Schulen Sie die Nutzer darin, Mitteilungen zum Prämienprogramm über etablierte interne Kanäle zu überprüfen, bevor sie auf Links klicken
    • Führen Sie umfassende Phishing-Simulationen durch, die mehrere Angriffsvektoren einbeziehen: E-Mail-Links, QR-Codes und SMS-basierte Szenarien

    Proaktive Bedrohungssuche

    • E-Mail-Empfangsprotokolle nach übereinstimmenden E-Mail-Betreffzeilen durchsuchen
    • Überprüfen Sie die Klickprotokolle der URLs auf übereinstimmende Phishing-Seiten
    • Überwachen Sie ungewöhnliche Weiterleitungsmuster, an denen legitime Sicherheitsdienste (Sophos, Google Sites) beteiligt sind und die mit Prämienangeboten in Verbindung stehen
    • Suchen Sie nach Social-Engineering-Versuchen per SMS, in denen Prämienprogramme oder die Reaktivierung von Konten erwähnt werden

    Überwachung

    • Führen Sie eine Überwachung von aufeinanderfolgenden Weiterleitungen über mehrere legitime Dienste durch, insbesondere solcher, die das Branding von Mitarbeiterleistungen betreffen
    • Überwachen Sie ungewöhnliche Authentifizierungsereignisse im Anschluss an mutmaßliche Versuche, sich als Awardco auszugeben
    Zurück zum Anfang