Phishing-Kampagne mit QR-Codes zum Thema „HR-Bonus“, die die Unternehmensprozesse zum Jahresende ausnutzt

21. November 2025

Abonnieren Sie unseren Newsletter, um Benachrichtigungen zu Bedrohungsinformationen zu erhalten

Wichtige Punkte

Bedrohungsart: Erfassung von Anmeldedaten durch Phishing mittels QR-Code
Gefälschte Marken: DocuSign, Personalabteilungen von Unternehmen
Hauptübertragungsweg: Kompromittierte E-Mail-Konten, über die PDF-Anhänge mit eingebetteten QR-Codes versendet werden

Kampagnenübersicht

Das Mimecast Threat Research-Team hat eine aktive Kampagne zum Diebstahl von Zugangsdaten aufgedeckt, bei der kompromittierte E-Mail-Konten genutzt werden, um Phishing-Nachrichten mit Personalthematik zu versenden, die vorgeben, von DocuSign und unternehmensspezifischen Personalabteilungen zu stammen. Diese Kampagne zeugt von operativer Reife, da sie geografisch verteilte kompromittierte Konten, Filter für mobile Geräte sowie Techniken zur Umgehung von CAPTCHA-Systemen einsetzt, um einer Entdeckung zu entgehen.

Rechtzeitige Abwicklung der Geschäftsprozesse zum Jahresende

Diese Kampagne gibt insbesondere aufgrund ihres strategisch gewählten Zeitpunkts und der Ausnutzung legitimer Geschäftsabläufe Anlass zur Sorge. Wenn Unternehmen in das letzte Quartal des Jahres eintreten, leiten Personalabteilungen branchenübergreifend in der Regel die Vergabe von Bonuszahlungen, die Leistungsbeurteilungen zum Jahresende sowie die Verfahren zur Anmeldung für Sozialleistungen ein. Mitarbeiter erwarten, dass sie seriöse Mitteilungen zum Thema Vergütung erhalten, wodurch sie anfälliger für Phishing-Angriffe mit Personalthematik sind. Die Angreifer haben sich diese Erwartung zunutze gemacht, indem sie überzeugende Nachrichten verfasst haben, die den üblichen Aktivitäten von Unternehmen zum Jahresende entsprechen. Die Dringlichkeit, die in Betreffzeilen wie „ ": Lassen Sie uns das Jahr gebührend abschließen – füllen Sie Ihr Bonusformular aus!“ und „" “ zum Ausdruck kommt, nutzt sowohl den zeitkritischen Charakter der Jahresabschlussprozesse als auch das finanzielle Interesse der Mitarbeiter an Informationen zum Bonus aus. Diese psychologische Manipulation erhöht die Wahrscheinlichkeit, dass Nutzer mit schädlichen Inhalten interagieren, erheblich.

Angriffskette

Die Kampagne läuft in mehreren Schritten ab:

1. Erstversand: Die E-Mails stammen aus kompromittierten Konten, wobei vorwiegend Absenderadressen verwendet werden, die mit legitimen Diensten und Unternehmensdomänen in Verbindung stehen
2. Social Engineering: In den Nachrichten wird vorgetäuscht, es handele sich um Mitteilungen der Personalabteilung bezüglich Bonusformularen oder Unterlagen zum Jahresende
3. PDF-Anhang: Die E-Mail enthält einen PDF-Anhang, auf dem das Logo der Zielorganisation sowie das HR-Branding zu sehen sind, um den Eindruck von Seriosität zu erwecken
4. Weiterleitung über QR-Code: Die PDF-Datei enthält einen QR-Code, der die Nutzer zu einem Portal zum Abgreifen von Zugangsdaten weiterleitet
5. Mobile Targeting: Bei einigen Varianten wird ein Filter eingesetzt, um sicherzustellen, dass die Verbindungen von Mobilgeräten ausgehen, auf denen die Sicherheitsmaßnahmen möglicherweise weniger streng sind
6. Erfassung von Zugangsdaten: Benutzer werden auf eine gefälschte Authentifizierungsseite umgeleitet, die darauf ausgelegt ist, Unternehmenszugangsdaten zu erfassen

Einige der identifizierten Beispiele sind im Folgenden aufgeführt

HR Bonus-1.png

HR Bonus 2.png

Sobald ein Nutzer den QR-Code mit seinem Mobilgerät scannt, wird er zu einem Schritt zur manuellen Überprüfung weitergeleitet, um die Legitimität sicherzustellen.

HR Bonus 3.png

Die Benutzer werden anschließend aufgefordert, ihre Anmeldedaten einzugeben

HR Bonus-4.png

Technische Infrastruktur

Die Analyse einer Variante der Backend-Infrastruktur der Kampagne offenbart einen Mechanismus zum Sammeln von Anmeldedaten. Die Phishing-Seiten nutzen JavaScript-basierte Datenerfassung mit den folgenden Merkmalen:

Mehrere Anmeldeversuche: Das Skript lässt bis zu drei fehlgeschlagene Anmeldeversuche zu, bevor es auf ein echtes Microsoft Office-Portal weiterleitet, wodurch der Eindruck eines vorübergehenden Serviceproblems erweckt wird
Fehlerbehandlung: Implementiert eine grundlegende Validierung, um sicherzustellen, dass Benutzer ihre Anmeldedaten eingeben, bevor sie fortfahren
Datenexfiltration: Die erfassten Anmeldedaten werden per POST-Anfrage an eine vom Angreifer kontrollierte Infrastruktur unter https://jafaclink.net/nbm/sharethepoint/point/res.php übermittelt.
Umgehungstechniken: Einige Varianten setzen CAPTCHA-Prüfungen ein, die speziell darauf ausgelegt sind, automatisierte Sicherheitsscan-Tools zu umgehen

Mimecast-Schutz

Das Mimecast Threat Research-Team hat Erkennungsregeln entwickelt und implementiert, um diese Kampagne zu identifizieren und zu blockieren. Wir beobachten diese Bedrohungsaktion weiterhin im Hinblick auf taktische Entwicklungen und Änderungen an der Infrastruktur.

Ziele

Globale Organisationen

Indikatoren für eine Kompromittierung (IOCs)

HR-Bonus 5.png

Empfehlungen

Schulung zur Sensibilisierung der Nutzer:

Weisen Sie die Nutzer an, Lockangebote zum Thema Personalwesen und Bonuszahlungen zu überprüfen, anstatt QR-Codes zu scannen
Klären Sie die Nutzer über die Risiken auf, die mit dem Scannen von QR-Codes aus unerwarteten Quellen verbunden sind, insbesondere in E-Mail-Anhängen
Schulen Sie die Nutzer darin, beim Zugriff auf arbeitsbezogene Inhalte auf mobilen Geräten, auf denen Sicherheitsindikatoren möglicherweise weniger gut erkennbar sind, besondere Vorsicht walten zu lassen
Führen Sie Phishing-Simulationen durch, die Szenarien mit QR-Codes beinhalten

Threat Hunting:

Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen