Gängige Social-Engineering-Taktiken, die zur Installation von Fernüberwachungs- und -verwaltungstools für den Erstzugang genutzt werden

10. Oktober 2025

Von dem Mimecast Threat Research Team

Kampagnenübersicht

Das Mimecast Threat Research-Team beobachtet weiterhin, dass Angreifer zunehmend auf herkömmliche, mit Malware versehene E-Mail-Anhänge verzichten und stattdessen legitime RMM-Tools (Remote Monitoring and Management) einsetzen, um sich einen ersten Zugriff zu verschaffen. Diese strategische Neuausrichtung ermöglicht es Angreifern, zahlreiche Sicherheitsmaßnahmen zu umgehen, da RMM-Software von IT-Teams häufig eingesetzt wird und in Unternehmensumgebungen oft auf der Whitelist steht.

Die Kampagnen zeigen ausgefeilte Social-Engineering-Methoden, die darauf abzielen, Nutzer dazu zu verleiten, RMM-Agenten freiwillig zu installieren. Bei diesen Betrugsmaschen kommen verschiedene Köder zum Einsatz, von gefälschten Zahlungsbelegen, die über Evernote verbreitet werden, bis hin zu betrügerischen Einladungen zu Zoom-Meetings. Im Folgenden finden Sie einige der Kampagnen, die wir in den letzten Monaten beobachtet haben und die zum Herunterladen verschiedener RMM-Tools genutzt wurden.

Finanzieller Anreiz

Bei dieser Kampagne werden gefälschte E-Mails mit Überweisungsbenachrichtigungen und Zahlungsbestätigungen verwendet, um die Empfänger dazu zu verleiten, schädliche Dateien herunterzuladen. Bei diesen Kampagnen wird vorgetäuscht, es handele sich um legitime Finanzmitteilungen, indem behauptet wird, Zahlungen seien per Banküberweisung abgewickelt worden, und die Nutzer dazu aufgefordert werden, Zahlungsbelege unter "sowie" über Dateifreigabedienste wie EverNote herunterzuladen.

Die Köder nutzen dringliche Geschäftssituationen im Zusammenhang mit Finanztransaktionen aus und machen sich dabei den routinemäßigen Charakter der Kommunikation bei der Zahlungsabwicklung zunutze, mit der die Mitarbeiter regelmäßig zu tun haben.

Den Empfängern werden scheinbar legitime PDF-Anhänge mit Zahlungsbelegen präsentiert; ein Klick auf diese Links führt jedoch letztendlich zum Download eines RMM-Tools und nicht zu den eigentlichen Finanzunterlagen. Dieser Social-Engineering-Ansatz nutzt das Vertrauen und die Dringlichkeit aus, die typischerweise mit Bestätigungen von Finanztransaktionen verbunden sind, wodurch die Wahrscheinlichkeit steigt, dass Nutzer auf die schädlichen Inhalte reagieren.

 

 
​Köder für Urheberrechtsverletzungen

Cyberkriminelle nutzen gefälschte Mitteilungen über Urheberrechtsverletzungen, in denen sie sich als renommierte Anwaltskanzleien ausgeben, um Empfänger dazu zu verleiten, schädliche Inhalte herunterzuladen. In diesen Kampagnen wird behauptet, dass im Zusammenhang mit Verstößen gegen das Urheberrecht dringende rechtliche Schritte erforderlich seien, und die Nutzer werden auf die sichere Website "sowie auf den Link" verwiesen, um vollständige Berichte einzusehen und Strafen zu vermeiden. Die Betrugsversuche nutzen die Angst vor rechtlichen Konsequenzen und finanzieller Haftung aus, wodurch die Empfänger eher dazu neigen, auf Links zu klicken, da sie glauben, dass sie auf berechtigte Urheberrechtsansprüche unverzüglich reagieren müssen.

Anstatt auf tatsächliche Rechtsdokumente zuzugreifen, werden die Opfer dazu veranlasst, ein RMM-Tool herunterzuladen, das den Angreifern dauerhaften Fernzugriff auf die kompromittierten Systeme ermöglicht. Dieser Social-Engineering-Ansatz verbindet die Autorität und Dringlichkeit rechtlicher Drohungen mit der wahrgenommenen Legitimität des Markenimages etablierter Anwaltskanzleien, um die Beteiligung der Opfer zu maximieren.

Köder-E-Signatur
​
​Angreifer​nutzen Arbeitsabläufe im Bereich der elektronischen Signatur aus, indem sie gefälschte Einladungen zur Unterzeichnung von Dokumenten versenden, die sich als legitime E-Signatur-Plattformen wie Authentisign ausgeben. Diese Kampagnen richten sich an Empfänger mit dringenden Aufforderungen zur Unterzeichnung von Geschäftsdokumenten wie Vertriebs- oder Übertragungsverträgen und nutzen dabei den routinemäßigen Charakter der elektronischen Dokumentenbearbeitung im modernen Geschäftsbetrieb. Empfänger, die auf die Schaltflächen „ "“ oder „START SIGNING" “ klicken, werden auf bösartige Webseiten weitergeleitet, die gefälschte CAPTCHA-Verifizierungsseiten enthalten, die darauf ausgelegt sind, automatisierte Sicherheitsscanner zu umgehen und einen falschen Eindruck von Legitimität zu erwecken.

Die CAPTCHA-Implementierung dient der Verschleierung, indem sie Headless-Browser und Sicherheitstools blockiert und gleichzeitig die Überprüfungsmöglichkeiten deaktiviert, bevor die Nutzer schließlich dazu weitergeleitet werden, RMM-Tools herunterzuladen, anstatt auf die eigentlichen Signaturplattformen zuzugreifen. Dieser vielschichtige Social-Engineering-Ansatz nutzt das Vertrauen und den zeitkritischen Charakter von Vertragsunterzeichnungsprozessen aus und setzt gleichzeitig ausgefeilte Maßnahmen zur Umgehung von Sicherheitskontrollen ein.

Zoom-Meeting-Lockangebot

Angreifer geben sich als legitime Organisatoren von Besprechungen aus, indem sie betrügerische Einladungen zu Zoom-Besprechungen versenden, die den Anschein erwecken, als stammten sie von Kollegen oder Geschäftskontakten. Diese Kampagnen nutzen die Allgegenwärtigkeit von Videokonferenzen in der modernen Geschäftskommunikation und setzen bekannte Namen sowie offiziell wirkende Zoom-Meeting-Links ein, um bei den Empfängern Vertrauen zu schaffen. Die gefälschten Einladungen enthalten Optionen wie „ "“ („Annehmen/Ablehnen“) und „" “, die legitime Kalenderintegrationsfunktionen imitieren und den Nutzer dazu verleiten, sofort zu reagieren, ohne die Angaben zu überprüfen. Opfer, die auf diese Links klicken, werden auf bösartige Websites weitergeleitet, von denen ein RMM-Tool heruntergeladen wird, das Angreifern dauerhaften Fernzugriff auf die kompromittierten Systeme ermöglicht. Dieser Social-Engineering-Ansatz nutzt den routinemäßigen und vertrauenswürdigen Charakter von Einladungen zu Besprechungen aus, wodurch Mitarbeiter Links, die sie als übliche geschäftliche Kommunikation wahrnehmen, weniger kritisch hinterfragen.

Falsche ScreenConnect-Sicherheitswarnung als Köder

Im Rahmen dieser Kampagne richteten sich die Angreifer gezielt an IT-Administratoren und Managed-Service-Anbieter und versuchten, diese mit ausgeklügelten gefälschten ScreenConnect-Anmeldewarnungen zu täuschen, in denen ein unbefugter Zugriff von verdächtigen IP-Adressen behauptet wurde. Diese Kampagnen geben sich als legitime ScreenConnect-Sicherheitsbenachrichtigungen aus und zeigen detaillierte Kontoinformationen an, darunter bestimmte Domänen, Benutzerkonten und geografische Standorte, um bei technischem Personal Glaubwürdigkeit zu erwecken. Die Köder nutzen das gesteigerte Sicherheitsbewusstsein von IT-Fachkräften aus, indem sie dringliche Szenarien darstellen, die eine sofortige Überprüfung der Sicherheit unter "" erfordern – Maßnahmen, denen Administratoren naturgemäß Priorität einräumen würden. Anstatt auf die eigentlichen ScreenConnect-Sicherheits-Dashboards zuzugreifen, werden Opfer, die auf die Links „ "“ und „Review Security“ (" ) klicken, auf Seiten weitergeleitet, die darauf ausgelegt sind, die Anmeldedaten von Superadministratoren zu stehlen. Dieser Social-Engineering-Ansatz zielt gezielt auf die erweiterten Berechtigungen von IT-Administratoren ab und verschafft Angreifern dadurch möglicherweise umfassenden Zugriff auf mehrere verwaltete Client-Umgebungen.

Köder in Form einer Benachrichtigung über die Freigabe gefälschter Dokumente

Angreifer geben sich als legitime Plattformen zum Austausch von Dokumenten aus, indem sie gefälschte Benachrichtigungen über den Dateiaustausch versenden, die den Anschein erwecken, als stammten sie von Kollegen oder Führungskräften innerhalb der Organisationen. Diese Kampagnen nutzen vertrauenswürdige Namen wie „ "“ (Stellvertretender Stabschef)" sowie offiziell klingende Dokumenttitel wie „ "“ (Vorankündigung) .docx", um bei den Empfängern ein Gefühl der Dringlichkeit und der vermeintlichen Legitimität zu erzeugen. Die Köder enthalten Warnhinweise zu externen Absendern sowie Aufforderungen, das Dokument umgehend zu prüfen ( "," ), wobei sie echte Sicherheitsbenachrichtigungen von Plattformen wie Google Drive oder SharePoint imitieren, um den Verdacht zu mindern. Anstatt auf tatsächlich freigegebene Dokumente zuzugreifen, werden Opfer, die auf die Schaltflächen „ "“ oder „Open" “ klicken, auf bösartige Websites umgeleitet, von denen RMM-Tools heruntergeladen werden, wodurch Angreifern ein dauerhafter Fernzugriff auf die kompromittierten Systeme ermöglicht wird.

Diese legitimen Anwendungen bieten dauerhafte Fernsteuerungsfunktionen, während sie als autorisierte Unternehmenssoftware erscheinen, was ihre Erkennung deutlich schwieriger macht als bei herkömmlichen Malware-Installationen. Branchenstudien deuten darauf hin, dass dieser Trend die zunehmende Wirksamkeit von E-Mail-Sicherheitslösungen bei der Erkennung herkömmlicher Malware widerspiegelt, was Angreifer dazu zwingt, ausgefeiltere Strategien zum Missbrauch legitimer Tools anzuwenden. Diese Entwicklung stellt einen grundlegenden Wandel in der Angriffsmethodik dar: weg vom Einsatz bösartigen Codes hin zur Nutzung bestehender, vertrauenswürdiger Software für böswillige Zwecke.

Mimecast-Schutz

Die fortschrittlichen Funktionen zur Erkennung von Bedrohungen von Mimecast haben diese Kampagnen mithilfe mehrerer Schutzebenen erfolgreich identifiziert und blockiert.

Erkannte IOCs

Download-URLs

• hxxp://dl[.]dropbox[.]com/scl/fi/y8nwd9911fen2xlgm7ogi/Invoice_00299[.]zip?rlkey=pq8f9ui5fdxxg1bzvv4h8bd3v&st=m9m3youl&dl=0
• hxxps://store8[.]gofile[.]io/download/direct/7f0d3fca-f5d5-432b-a9ca-34b6a936f608/IntuitproPlugin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/9f5a47f8-cb82-4955-b4dc-6d4dd480512b/IntuitPluginCore3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/b9f9f024-93fa-43db-8567-7aef21436c4b/IntuitPluginCore3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/42c735a7-0a8e-444e-8d55-252cb384557d/IntuitPluginCore3[.]0[.]exe
• hxxps://file-eu-par-2[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/75309ae0-a457-4a96-9f63-1b969945e7ac/IntuitPluggin3[.]0[.]exe
• hxxps://bitbucket[.]org/thanksforusingourwebsite/serv/downloads/Statement-415322025[.]exe
• hxxps://podcast[.]zozaljubali[.]com/Remittance%20Advice_pdf[.]exe

Links zum Hosting

• hxxps://sptr[.]eomail6[.]com/f/a/
• hxxps://skyexchange[.]win/wp-scripts/dee54[.]php
• fn3699[.]kafinora[.]cyou
• fnback9636[.]site
• hxxps://docs[.]google[.]com/document/d/15zYZoGTgMCreSji6V4KJntdP0ZM0b3

Empfehlungen

RMM-Sicherheitsmanagement:

• Legen Sie Richtlinien für zugelassene RMM-Tools fest und führen Sie strenge Zulassungslisten für autorisierte Fernzugriffssoftware.
• Führen Sie zusätzliche Authentifizierungsanforderungen für die Installation von RMM-Tools ein, sodass vor der Bereitstellung eine Genehmigung durch die IT-Abteilung erforderlich ist
• Überwachen Sie den Netzwerkverkehr auf unbefugte RMM-Kommunikation und legen Sie Referenzwerte für legitime RMM-Nutzungsmuster fest
• Für MSPs: Implementieren Sie getrennte RMM-Instanzen mit eingeschränktem kundenübergreifendem Zugriff und erweiterter Überwachung der Nutzung von Superadministrator-Konten

Sicherheitsbewusstsein der Benutzer:

• Klären Sie die Mitarbeiter über die zulässige geschäftliche Nutzung von RMM-Tools auf und betonen Sie dabei, dass vor der Installation eine Genehmigung der IT-Abteilung erforderlich ist
• Führen Sie Simulationen durch, bei denen RMM-Installationsanfragen unter dem Deckmantel von IT-Support oder geschäftlicher Kommunikation einfließen
• Legen Sie besonderen Wert auf die Überprüfung von Mitteilungen über offizielle Kanäle, insbesondere solcher, in denen zum Herunterladen von Software aufgefordert wird

Unternehmen sollten bestehende RMM-Implementierungen unverzüglich überprüfen und eine verbesserte Überwachung dieser legitimen Tools einführen, die für böswillige Zwecke genutzt werden, da herkömmliche signaturbasierte Erkennungsverfahren dieses Missbrauchsmuster möglicherweise nicht identifizieren können.