Mehrfacher Einsatz von Phishing-Kits sorgt für Zunahme von bösartigen Domains

Neue Untersuchungen des Cybersecurity-Anbieters Akamai haben ergeben, dass 12 Prozent der überwachten Geräte im zweiten Quartal 2022 mindestens einmal mit Domains kommuniziert haben, die mit Malware oder Ransomware in Verbindung stehen. Der Analyse zufolge entspricht dies einem Anstieg von drei Prozent im Vergleich zum ersten Quartal 2022. Die Ergebnisse basieren auf DNS-Daten sowie dem Datenverkehr von verschiedenen Branchen und Regionen.

Erhöhte Malware-, Phishing- und C2-Domain-Aktivitäten

Nach eigenen Angaben stellte Akamai fest, dass zusätzlich zu den Geräten, die mit Malware- und Ransomware-Domains kommunizieren, weitere 6 Prozent der Geräte auf Phishing-Domains und 0,8 Prozent auf Command-and-Control (C2)-Domains zugreifen. Beide Werte stellen eine kleine Steigerungen gegenüber Q1 2022 dar. "Obwohl diese Werte unbedeutend erscheinen mögen, geht es hier um Millionen von Geräten", betont das Sicherheitsunternehmen. "Wenn man bedenkt, dass C2 die bösartigste aller Bedrohungen ist, ist dies nicht nur signifikant, sondern von entscheidender Bedeutung."

Von den potenziell gefährdeten Geräten und den verschiedenen Bedrohungskategorien waren 63 Prozent der Geräte Bedrohungen ausgesetzt, die mit Malware-Aktivitäten in Verbindung stehen, 32 Prozent mit Phishing und fünf Prozent mit C2, so die Ergebnisse. "Der Zugriff auf Domains, die mit Malware in Verbindung stehen, bedeutet nicht, dass diese Geräte tatsächlich kompromittiert wurden. Aber es ist ein deutlicher Hinweis auf ein erhöhtes potenzielles Risiko, wenn die Bedrohung nicht angemessen entschärft wurde", erläutern die Studienautoren. Der Zugriff auf C2-assoziierte Domänen deute darauf hin, dass das Gerät höchstwahrscheinlich kompromittiert sei und mit dem C2-Server kommuniziert, heißt es weiter. Dies könnte erklären, warum die Häufigkeit von C2 im Vergleich zu den Malware-Zahlen geringer ist.

Hightech- und Finanzunternehmen sind am stärksten betroffen

Darüber hinaus zeigen die Ergebnisse, dass High-Tech- und Finanzfirmen im zweiten Quartal 2022 am stärksten von bösartigen Domain-Aktivitäten betroffen waren. Was die Kategorisierung der Angriffe betrifft, so richtete sich die überwiegende Mehrheit (81 Prozent) der Kampagnen laut der Analyse jedoch gegen Verbraucher. Akamai warnte jedoch, dass die Anzahl der Angriffe (19 Prozent) auf Geschäftskonten ernstgenommen werden sollte.

"Diese Arten von Angriffen sind in der Regel gezielter und haben ein größeres Potenzial für erhebliche Schäden", schreiben die Forscher. "Angriffe, die auf Geschäftskonten abzielen, können dazu führen, dass das Netzwerk eines Unternehmens mit Malware oder Ransomware kompromittiert wird oder dass vertrauliche Informationen nach außen dringen. Ein Angriff, der damit beginnt, dass ein Mitarbeiter auf einen Link in einer Phishing-E-Mail klickt, kann dazu führen, dass das Unternehmen erhebliche finanzielle und rufschädigende Schäden erleidet."

Phishing-Kits als Schlüsselrolle

In der Auswertung von Akamai zeigt sich, dass Phishing-Kits eine Schlüsselrolle bei den untersuchten bösartigen Domain-Aktivitäten spielen. Im zweiten Quartal 2022 wurden demnach 290 verschiedene Phishing-Toolkits in freier Wildbahn eingesetzt, wobei 1,9 Prozent an mindestens 72 verschiedenen Tagen wiederverwendet wurden. "Darüber hinaus wurden kanpp 50 Prozent der Kits mindestens fünf Tage lang wiederverwendet, und wenn wir uns alle erfassten Kits ansehen, stellen wir fest, dass alle an nicht weniger als drei verschiedenen Tagen im zweiten Quartal wiederverwendet wurden", schreibt das Unternehmen.

Die industrielle Erstellung und der Verkauf beziehungsweise die Weitergabe von Phishing-Kits, die bekannte Marken imitieren, sei die treibende Kraft hinter der Wiederverwendung von Kits, so Akamai. "Kits lassen sich immer leichter entwickeln und einsetzen. Das Internet ist voll von verlassenen Websites, die missbraucht werden können, sowie von anfälligen Servern und Diensten." Die Kits würden innerhalb von Stunden entwickelt und veröffentlicht. "Die klare Trennung zwischen Herstellern und Nutzern führt dazu, dass diese Bedrohung in absehbarer Zeit nicht verschwinden wird."

Den Security-Experten zufolge wurde das Kr3pto-Toolkit im zweiten Quartal 2022 am häufigsten verwendet und mit mehr als 500 Domains in Verbindung gebracht. Obwohl es schätzungsweise vor mehr als drei Jahren entwickelt wurde, ist Kr3pto laut Akamai immer noch sehr aktiv und effektiv. Webmail_423, Microsoft_530 und sfexpress_93 waren die nächsthäufig verwendeten Phishing-Toolkits.

Bösartige Domains - eine erhebliche Bedrohung für Unternehmen

Bösartige Domains stellen eine Bedrohung für Unternehmen dar, deshalb sollten Sicherheitsteams sich damit auseinander setzten, wie sie die damit verbundenen Risiken bewältigen können, erklärt Alex Applegate, Senior Threat Researcher bei DNSFilter, gegenüber CSO. "Wenn ein Benutzer eine bösartige Website öffnet, kann er eine Vielzahl von bösartigen Aktivitäten starten. Die meisten dieser bösartigen Aktivitäten konzentrieren sich auf die Ausführung einer Art von Code auf dem Computer des Opfers. Dazu zählen die Installation einer bösartigen ausführbaren Datei oder das Starten eines Skripts auf der Website, das bösartige Aktionen auf dem Computer des Opfers ausführt", so der Experte.

Nach erfolgreicher Installation seien die Möglichkeiten dieses bösartigen Codes grenzenlos, so dass die Gefahr bestehe, dass sensible Daten gestohlen oder beschädigt würden, fügt Applegate hinzu. "Der Computer des Opfers könnte dann als Wegpunkt genutzt werden, um sich innerhalb des Netzwerks zu bewegen oder Zugang zu sichereren Ressourcen zu erlangen. Zum Beispiel, indem das System eines externen Auftragnehmers kompromittiert wird, um Zugang zum Netzwerk eines Fortune 500-Unternehmens zu erhalten", führt der DNSFilter-Experte aus.

Um die Risiken bösartiger Domänen zu mindern, sollten Sicherheitsteams zunächst sicherstellen, dass sichere Webverbindungen vorhanden sind. Außerdem rät der Security-Experte, die Endbenutzer über die Gefahren aufzuklären, die mit dem Klicken auf einen Link oder dem Besuch einer URL verbunden sind, die von einer nicht vertrauenswürdigen Quelle stammt oder anderweitig unerwünscht war.

"Darüber hinaus gibt es mehrere bekannte Domains, die von Drittanbietern verwaltet werden, die automatisch auf Rechtschreibfehler, Zeichensubstitutionen und andere gleichlautende Zeichen geprüft werden können", ergänzt Applegate. Dabei seien sowohl Open-Source- als auch kommerzielle Cyber-Bedrohungsinformationsdienste erhältlich. "Dabei werden Listen von Websites verbreitet, die für Phishing, die Kompromittierung von Geschäfts-E-Mails und andere bösartige Aktivitäten verwendet werden", so der Experte.

Applegate verweist darauf, dass abgesehen von der URL selbst ein gesunder Netzwerk- und Endpunktüberwachungsplan viele der lästigsten Bedrohungen aufspüren kann. "Es ist wichtig, dass die Überprüfung auf Prozessinjektionen, die Ausweitung von Berechtigungen, das Öffnen von Netzwerk-Ports, das Schreiben in Systemdateien, die Exfiltration großer Dateien und das unerwartete Kopieren von Dateien auf mehrere Systeme erfasst und überprüft wird - und natürlich sollten immer vollständige externe Backups aller wichtigen Daten erstellt und überprüft werden."

Or Katz, leitender Sicherheitsforscher bei Akamai, erklärt gegenüber CSO, dass es mehr brauche, um aufkommende Kampagnen besser zu verfolgen und sie schnell und effektiv zu eliminieren, "indem laufende Bedrohungsdaten in Verbindung mit IP-Adressen oder ASN-Reputation, neu registrierten oder in freier Wildbahn gesehenen Domains verwendet werden". (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.