Einladungen zu Weihnachtsfeiern bieten Tools für den Fernzugriff

5. Dezember 2025

Von Hiwot Mendahun, Ankit Gupta und dem Mimecast Threat Research Team

Wichtige Punkte

Cyberkriminelle nutzen die Weihnachtszeit aus, indem sie sich als seriöse Dienste für Party-Einladungen wie Punchbowl ausgeben, um Tools zur Fernüberwachung und -verwaltung (RMM) zu verbreiten
Der Fokus liegt auf US-amerikanischen Unternehmen vor allem aus den Branchen Finanzen, freiberufliche Dienstleistungen (Wirtschaftsprüfung, Rechtsberatung) und Immobilien
Links in diesen gefälschten Einladungen leiten die Nutzer über Google Sites und HubSpot weiter, um die ScreenConnect-RMM-Client-Software herunterzuladen

Kampagnenübersicht

Das Mimecast Threat Research-Team hat eine andauernde Kampagne identifiziert, die die Weihnachtszeit ausnutzt, um Fernzugriffstools zu verbreiten, die als Einladungen zu Weihnachtsfeiern getarnt sind. Dabei wurden über 2.300 Domains als Ziele identifiziert, vor allem in den Vereinigten Staaten, wobei eine nennenswerte Konzentration in Australien zu verzeichnen ist. Diese Technik nutzt bekannte Muster der Nachahmung legitimer Einladungsdienste wie Evite und Punchbowl, um sowohl Seiten zum Phishing von Zugangsdaten als auch Malware zu verbreiten. Die aktuelle Kampagne stellt eine Weiterentwicklung dieser Taktik dar und zielt insbesondere auf die zunehmende Zahl von Mitteilungen zu betrieblichen Weihnachtsveranstaltungen ab.

Ablauf des Angriffs

Der Angriff beginnt mit E-Mails, die von legitimen, jedoch kompromittierten Business Email-Konten versendet werden, wodurch die Nachricht auf Anhieb glaubwürdig wirkt. Diese kompromittierten Konten gehören häufig vertrauenswürdigen Drittanbietern wie Wirtschaftsprüfungsgesellschaften, Anwaltskanzleien oder Unternehmensberatern. Die Empfänger erhalten eine scheinbar echte Einladung zu einer Weihnachtsfeier oder einer anderen Weihnachtsveranstaltung. Die E-Mail enthält einen Link, der angeblich Informationen zur Veranstaltung oder Anmeldemöglichkeiten bereitstellt.

Wenn Sie auf den Link klicken, löst dies eine mehrstufige Weiterleitungskette aus, die darauf ausgelegt ist, einer Erkennung zu entgehen. Bei einigen Kampagnen wird beobachtet, dass Nutzer über Google Sites oder den Engagement-Dienst von HubSpot umgeleitet werden, wodurch das bösartige Ziel noch stärker verschleiert wird. Bei anderen Kampagnen sehen wir eine Landingpage, auf der der Nutzer aufgefordert wird, auf die Schaltfläche „Datei herunterladen“ zu klicken, wodurch der Download gestartet wird. Auf den endgültigen Zielseiten befinden sich Installationsprogramme für den ScreenConnect-RMM-Client, die als Downloads für Einladungen zu Partys getarnt sind.

Weihnachtsfeier 2.png

Weihnachtsfeier 3.png

Weihnachtsfeier 4.png

Warum RMM-Tools gefährlich sind

Im Gegensatz zu herkömmlicher Malware ist ScreenConnect ein legitimes Fernwartungstool, das von IT-Fachleuten zur Systemverwaltung eingesetzt wird. Wird es jedoch von Angreifern eingesetzt, ermöglicht es einen dauerhaften Fernzugriff, der für Sicherheitswerkzeuge oft harmlos erscheint – insbesondere in mittelständischen Unternehmen (500–5.000 Mitarbeiter), denen häufig Erkennungsfunktionen auf Unternehmensniveau fehlen. Nach der Installation können Angreifer:

Befehle mit Administratorrechten ausführen
Vertrauliche Daten, darunter Zugangsdaten, Finanzinformationen und geistiges Eigentum, abzugreifen
Weitere Malware oder Ransomware einschleusen
Bewegen Sie sich seitlich durch das Netzwerk, um weitere Systeme zu kompromittieren
Sichern Sie sich einen langfristigen Zugriff für zukünftige Angriffe
Nutzen Sie vertrauensvolle Lieferantenbeziehungen, um in die Organisationen Ihrer Kunden vorzudringen und so Angriffe auf die Lieferkette zu ermöglichen

Mimecast-Schutz

Mimecast bietet mehrere Verteidigungsebenen gegen diese Social-Engineering-Angriffe mit Feiertagsbezug:

IOCs

Dateinamen:

Weihnachts-Einladung von Bluewep
ScreenConnect.ClientSetup
CHRISTMAS_BUNDLE_AGENT_468181_V10_14_4_RW.MSI

Datei-Hashes (SHA256):

FE5AA50D5DED1FF44138D6125188F531EF9DF1FCB64374EEB90A33E95941585C
5E3DEA219DD75763719D82DE99136318F0D224608EC310E5372010EFF6FF0D67
ee5b6da2a0a0ce53dd8a2542fd68aadf99920746bec57805b95447482c524916

URLs:

hxxp://sites.google.com/view/party-invite-download-e-card/home
dxmc1w04.na2.hs-service-engage[.]com
hxxps://rac[.]am/MINE
hxxps://stashie-co[.]com/

Ziele

Unternehmen der mittleren Größe (500–5.000 Mitarbeiter) in den Vereinigten Staaten (83% der Zielunternehmen) und Australien (4%), vorwiegend in den Bereichen Finanzen, freiberufliche Dienstleistungen (Wirtschaftsprüfung, Rechtsberatung), Immobilien/Hypotheken, Gesundheitswesen und öffentlicher Sektor

Empfehlungen

Sicherheitsbewusstsein der Benutzer

Informieren Sie die Nutzer. Weisen Sie die Mitarbeiter darauf hin, unerwartete Einladungen über andere Kanäle zu überprüfen, insbesondere wenn diese Download-Links enthalten. Weisen Sie darauf hin, dass bei seriösen Einladungen zu Unternehmensveranstaltungen in der Regel keine Software-Downloads erforderlich sind. Unternehmen sollten in der Jahresendphase, in der das Volumen der Finanztransaktionen zunimmt und die Personalausstattung möglicherweise reduziert ist, besonders wachsam sein

Proaktive Bedrohungssuche

Analyse der URL-Protokolle: Durchsuchen Sie die URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Verbindung stehen
Führen Sie Überwachungsmaßnahmen durch, wobei der Schwerpunkt auf Kunden mit externen Geschäftsbeziehungen liegen sollte, insbesondere auf solche in den Bereichen Buchhaltung, Rechtsberatung und Finanzberatung, die überproportional häufig ins Visier genommen werden

Steuerung der Bereitstellung von RMM-Tools

Legen Sie Richtlinien für die Zulassungsliste von Anwendungen fest, um die Installation nicht autorisierter Fernzugriffstools zu verhindern
Falls ScreenConnect oder ähnliche RMM-Tools rechtmäßig eingesetzt werden, stellen Sie sicher, dass ausschließlich von der IT-Abteilung genehmigte Versionen über kontrollierte Kanäle bereitgestellt werden können