Facebook-Kontoübernahme

    29. Januar 2025

    Von Samantha Clarke, Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • Vorwiegend auf Einzelhandels-, Medien- und Verlagsunternehmen in den USA und im Vereinigten Königreich ausgerichtet
    • Die Kampagnen werden über Recruitee, ein seriöses Rekrutierungs-CMS, verbreitet.
    • Der Hauptzweck ist das Sammeln von Anmeldeinformationen

    Kampagnenablauf

    Facebook-Kontoübernahme-flow.jpg

    Die Bedrohungsforscher von Mimecast haben kürzlich eine Phishing-Kampagne beobachtet, die Recruitee, ein seriöses Client Management System (CMS) eines Drittanbieters für die Personalbeschaffung, nutzt. Bedrohungsakteure missbrauchen die Plattform, um betrügerische E-Mails mit Stellenangeboten zu versenden, Endbenutzer zu täuschen und möglicherweise Erkennungsmechanismen zu umgehen, indem sie einen vertrauenswürdigen Dienst ausnutzen. Außerdem registrieren sie ähnlich aussehende Domänen und betten sie in von Recruitee generierte E-Mails ein, wobei sie sich als bekannte Marken ausgeben und so die Glaubwürdigkeit ihrer Phishing-Betrügereien erhöhen.

    Facebook-Konto-Übernahme-1.png


    Der Köder in dieser Kampagne dreht sich um ein betrügerisches Stellenangebot für einen Social Media Manager, das die Opfer dazu verleitet, einen Link anzuklicken, um sich zu bewerben. Bei näherer Untersuchung stellte sich heraus, dass die in den Kampagnen verwendeten Domains erst kürzlich über Dienste wie Porkbun und Hostinger registriert wurden, die von den Bedrohungsakteuren wegen ihrer geringen Kosten, einfachen Nutzung und schnellen Einrichtung bevorzugt werden.

    Sobald der Benutzer auf den Link klickt, werden zufällige CAPTCHAS und IP-Filter eingesetzt, um eine automatische Erkennung zu verhindern, bevor der Benutzer auf eine Anmeldeseite weitergeleitet wird.


    Facebook-Konto-Übernahme-2.png


    Sie erhalten eine gut strukturierte Phishing-Seite mit Branding und Logos, die die Glaubwürdigkeit erhöhen. Diese Kampagnen zielen in erster Linie darauf ab, Facebook-Anmeldedaten abzufangen, und der Nutzer wird aufgefordert, ein Konto über Facebook zu erstellen oder seine E-Mail-Adresse/Telefonnummer einzugeben. Beide Wege führen den Benutzer zur Eingabe der Facebook-Anmeldedaten.


    Facebook-Konto-Übernahme-3.png


    Nach der Eingabe der Anmeldeinformationen wird der Benutzer dann nach einer zweiten Authentifizierung gefragt, damit der Bedrohungsakteur das Facebook-Konto übernehmen kann. Alle auf diesen Seiten eingegebenen Daten werden automatisch in Telegram-Logger eingespeist, um eine rechtzeitige Übernahme der Konten zu gewährleisten.


    Facebook-Konto-Übernahme-4.png


    Die Kampagnenaktivität ist im September deutlich angestiegen und hat Ende November wieder zugenommen.


    Facebook-Konto-Übernahme-5.png


    Taktik, Techniken und Verfahren:

    T1566.002 - Phishing: Speer Phishing Link
    T1598.002 - Phishing für Informationen
    T1204.001 - Benutzer-Ausführung: Bösartiger Link
    T1596.002 - Durchsuchen offener Websites/Domänen nach Ressourcen des Opfers (z. B. Erstellen ähnlicher Domänen)
    T1189 - Drive-by-Compromise (Phishing Websites mit CAPTCHA/IP-Filterung)
    T1070.004 - Indikator-Entfernung auf dem Host: Automatisierte Exfiltration über Telegram Bots

    Mimecast-Schutz

    Wir haben in den Kampagnen mehrere Attribute identifiziert, die unsere Erkennungsmöglichkeiten erweitert haben.

    Zielsetzung:

    US und UK, vor allem Einzelhandel, Medien/Verlagswesen


    IOCs:

    Themen:

    Ihr Talent ist uns aufgefallen - werden Sie Teil des Red Bull Teams
    Sind Sie bereit, Ihr Talent mit Red Bull in neue Dimensionen zu bringen?
    Entfalten Sie Ihr Potenzial: Exklusive Jobchance bei Coca Cola

    URLs:

    redbulldigitalteam[.]com
    redbull-socialmedia[.]com
    redbulldigitalkarriere[.]com
    redbull-jobskarriere[.]com
    redbull-karriere-jobs[.]com
    digitalredbull-team[.]com
    redbullsociamedia-karriere[.]com
    redbulldigital-socialmedia[.]com
    redbullcareers-digital[.]com
    redbullkarriere-team[.]com
    digitalredbull-social[.]com
    cocacolacompany-application-dev-ed.develop.my.salesforce-sites[.]com
    cocacolateam-anwendung-id23151232.netlify[.]app
    jobs-coca-cola[.]com
    victoriasecretdigital[.]com/bewerbung-arbeit/id-23452345
    applicationworksocialmedia[.]com
    bewerbung-karriere[.]com

    Telegramm Logger:

    bot8072644097:AAH2AOm9SAvgBLsPjOG6THu51ULEcS-ImAg
    bot8042878074:AAHHoa9x7R5w1RiWVXxxRW49YkP-NYHuoWw
    bot7610902362:AAEeD7oxYZcbiI6UuCf3Y4s42pxYWVJRoaU


    Empfehlungen

    • Vergewissern Sie sich, dass die URL Protect Richtlinien zum Schutz des Unternehmens festgelegt sind.
    • Durchsuchen Sie Ihre URL Protect Protokolle, um festzustellen, ob einer der missbrauchten Dienste von Ihren Benutzern genutzt wurde. 
    • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob E-Mails, die den Betreffs entsprechen, an Ihre Benutzer zugestellt wurden.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    Zurück zum Anfang