Dass ein kompromittiertes Postfach eine äußerst unangenehme Situation ist, dürfte sich jeder vorstellen können. In einem jüngsten Fall, den wir untersucht haben, sind Angreifer besonders geschickt vorgegangen, um ein Betrug mit Rechnungen durchzuführen und das Opfer im Unwissen zu lassen.

Incident Response Diary – Kompromittiertes E-Mail-Postfach

Ein Kunde kam auf uns zu, da er gefälschte Rechnungen per E-Mail erhalten hat. Was zunächst nach simplem Phishing klingt, stellte sich in der weiteren Analyse jedoch umfangreicher dar als zunächst angenommen.

Die Analyse

Nachdem wir besagte E-Mails und Images der betroffenen Computer sichergestellt hatten, wurde die Analyse eingeleitet und festgestellt, dass der Angreifer nicht nur gefälschte E-Mails an das Opfer schickt, sondern zudem Zugriff auf dessen E-Mail-Konto hat.

Dieser Zugriff war für den Angreifer deshalb von Vorteil, da dieser alle E-Mails des Opfers an sich selbst weiterleiten konnten und somit auch in den Besitzt legitimer Rechnungen gekommen ist. Diese Rechnungen wurden anschließend manipuliert, um das Opfer dazu zu bringen, Geld an Konten des Angreifers zu überweisen. Dazu wurden die manipulierten Rechnungen mit einer gefälschten E-Mail-Adresse, welche dem ursprünglichen Rechnungsteller ähnelt, an das Opfer geschickt. Damit nicht auffällt, dass Rechnungen doppelt ankommen, wurden Regeln in Outlook eingerichtet, welche alle E-Mails des ursprünglichen Rechnungsstellers zuerst an den Angreifer schickt und anschließend aus dem E-Mail-Konto des Opfers löscht. Neben den einkommenden E-Mails des Rechnungsstellers, wurden auch alle ausgehenden E-Mails zu diesem gelöscht, damit bei einer etwaigen Anfrage an die gefälschte E-Mail-Adresse nicht auffällt, dass diese nicht erreichbar ist.

Wie in den nachfolgenden Bildern zu sehen, trugen die Regeln den Namen „wer345“ und „bellwoy“ und jeweils wurden die E-Mails an die Adresse des Angreifers „arsguernsey@gmail[.]com“ weitergeleitet.

Da der Angreifer Zugang zu dem Konto hatte, wurden die Nachfragen dennoch beantwortet. Jedoch nicht von dem ursprünglichen Rechnungssteller, sondern vom Angreifer. Zu erkennen war dieser Betrug für das Opfer nur über die Endung der E-Mail-Adresse des vermeintlichen Geschäftspartners. Hier wurde das „com“ durch ein „corn“ ausgetauscht.

Allein der guten Aufmerksamkeit des Opfers ist es geschuldet, dass kein größerer Schaden entstanden ist.

Nachdem wir die Analyse abgeschlossen hatten, konnten wir feststellen, woher sich dieser in das Konto eingeloggt hatte und welche die reale E-Mail-Adresse hinter dem Angreifer ist.

Wie immer, gilt auch in diesem Fall: Absenderadressen genau lesen!

IOC

Angreifer E-Mail-Adresse:  arsguernsey@gmail[.]com

SECUINFRA Falcon Team · Autor:in

Digital Forensics & Incident Response Experten

Neben den Tätigkeiten, die im Rahmen von Kundenaufträgen zu verantworten sind, kümmert sich das Falcon Team um den Betrieb, die Weiterentwicklung und die Forschung zu diversen Projekten und Themen im DF/IR Bereich.

Das SECUINFRA Falcon Team ist auf die Bereiche Digital Forensics (DF) und Incident Response (IR) spezialisiert. Hierzu zählen die klassische Host-Based Forensik, aber auch Themen wie Malware Analysis oder Compromise Assessment gehören zu diesem Aufgabengebiet. Neben den Tätigkeiten, die im Rahmen von Kundenaufträgen zu verantworten sind, kümmert sich das Falcon Team um den Betrieb, die Weiterentwicklung und die Forschung zu diversen Projekten und Themen im DF/IR Bereich.  Dazu zählen beispielsweise Threat Intelligence oder die Erstellung von Erkennungsregeln auf Basis von Yara.

Digital Forensics & Incident Response experts

In addition to the activities that are the responsibility of customer orders, the Falcon team takes care of the operation, further development and research of various projects and topics in the DF/IR area.

The SECUINFRA Falcon Team is specialized in the areas of Digital Forensics (DF) and Incident Response (IR). This includes classic host-based forensics, but also topics such as malware analysis or compromise assessment. In addition to the activities for which we are responsible within the scope of customer orders, the Falcon team is also responsible for the operation, further development and research of various projects and topics in the DF/IR area. These include, for example, threat intelligence or the creation of detection rules based on Yara.
Beitrag teilen auf: