Facebook-Kontoübernahme
29. Januar 2025
Von Samantha Clarke, Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team
Was Sie in dieser Meldung erfahren werden
- Vorwiegend auf Einzelhandels-, Medien- und Verlagsunternehmen in den USA und im Vereinigten Königreich ausgerichtet
- Die Kampagnen werden über Recruitee, ein seriöses Rekrutierungs-CMS, verbreitet.
- Der Hauptzweck ist das Sammeln von Anmeldeinformationen
Kampagnenablauf
Die Bedrohungsforscher von Mimecast haben kürzlich eine Phishing-Kampagne beobachtet, die Recruitee, ein seriöses Client Management System (CMS) eines Drittanbieters für die Personalbeschaffung, nutzt. Bedrohungsakteure missbrauchen die Plattform, um betrügerische E-Mails mit Stellenangeboten zu versenden, Endbenutzer zu täuschen und möglicherweise Erkennungsmechanismen zu umgehen, indem sie einen vertrauenswürdigen Dienst ausnutzen. Außerdem registrieren sie ähnlich aussehende Domänen und betten sie in von Recruitee generierte E-Mails ein, wobei sie sich als bekannte Marken ausgeben und so die Glaubwürdigkeit ihrer Phishing-Betrügereien erhöhen.
Der Köder in dieser Kampagne dreht sich um ein betrügerisches Stellenangebot für einen Social Media Manager, das die Opfer dazu verleitet, einen Link anzuklicken, um sich zu bewerben. Bei näherer Untersuchung stellte sich heraus, dass die in den Kampagnen verwendeten Domains erst kürzlich über Dienste wie Porkbun und Hostinger registriert wurden, die von den Bedrohungsakteuren wegen ihrer geringen Kosten, einfachen Nutzung und schnellen Einrichtung bevorzugt werden.
Sobald der Benutzer auf den Link klickt, werden zufällige CAPTCHAS und IP-Filter eingesetzt, um eine automatische Erkennung zu verhindern, bevor der Benutzer auf eine Anmeldeseite weitergeleitet wird.
Sie erhalten eine gut strukturierte Phishing-Seite mit Branding und Logos, die die Glaubwürdigkeit erhöhen. Diese Kampagnen zielen in erster Linie darauf ab, Facebook-Anmeldedaten abzufangen, und der Nutzer wird aufgefordert, ein Konto über Facebook zu erstellen oder seine E-Mail-Adresse/Telefonnummer einzugeben. Beide Wege führen den Benutzer zur Eingabe der Facebook-Anmeldedaten.
Nach der Eingabe der Anmeldeinformationen wird der Benutzer dann nach einer zweiten Authentifizierung gefragt, damit der Bedrohungsakteur das Facebook-Konto übernehmen kann. Alle auf diesen Seiten eingegebenen Daten werden automatisch in Telegram-Logger eingespeist, um eine rechtzeitige Übernahme der Konten zu gewährleisten.
Die Kampagnenaktivität ist im September deutlich angestiegen und hat Ende November wieder zugenommen.
Taktik, Techniken und Verfahren:
T1566.002 - Phishing: Speer Phishing Link
T1598.002 - Phishing für Informationen
T1204.001 - Benutzer-Ausführung: Bösartiger Link
T1596.002 - Durchsuchen offener Websites/Domänen nach Ressourcen des Opfers (z. B. Erstellen ähnlicher Domänen)
T1189 - Drive-by-Compromise (Phishing Websites mit CAPTCHA/IP-Filterung)
T1070.004 - Indikator-Entfernung auf dem Host: Automatisierte Exfiltration über Telegram Bots
Mimecast-Schutz
Zielsetzung:
US und UK, vor allem Einzelhandel, Medien/Verlagswesen
IOCs:
Themen:
Sind Sie bereit, Ihr Talent mit Red Bull in neue Dimensionen zu bringen?
Entfalten Sie Ihr Potenzial: Exklusive Jobchance bei Coca Cola
URLs:
redbull-socialmedia[.]com
redbulldigitalkarriere[.]com
redbull-jobskarriere[.]com
redbull-karriere-jobs[.]com
digitalredbull-team[.]com
redbullsociamedia-karriere[.]com
redbulldigital-socialmedia[.]com
redbullcareers-digital[.]com
redbullkarriere-team[.]com
digitalredbull-social[.]com
cocacolacompany-application-dev-ed.develop.my.salesforce-sites[.]com
cocacolateam-anwendung-id23151232.netlify[.]app
jobs-coca-cola[.]com
victoriasecretdigital[.]com/bewerbung-arbeit/id-23452345
applicationworksocialmedia[.]com
bewerbung-karriere[.]com
Telegramm Logger:
bot8042878074:AAHHoa9x7R5w1RiWVXxxRW49YkP-NYHuoWw
bot7610902362:AAEeD7oxYZcbiI6UuCf3Y4s42pxYWVJRoaU
Empfehlungen
- Vergewissern Sie sich, dass die URL Protect Richtlinien zum Schutz des Unternehmens festgelegt sind.
- Durchsuchen Sie Ihre URL Protect Protokolle, um festzustellen, ob einer der missbrauchten Dienste von Ihren Benutzern genutzt wurde.
- Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob E-Mails, die den Betreffs entsprechen, an Ihre Benutzer zugestellt wurden.
- Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.