Eine Phishing-Kampagne hat mehr als 80 Organisationen kompromittiert, indem sie legitime Fernzugriffstools wie SimpleHelp und ScreenConnect nutzt. Die Angreifer täuschen die Opfer, indem sie sie dazu bringen, diese Programme zu installieren, und erlangen so die vollständige Kontrolle über die Systeme. Einmal im System, stehlen sie Anmeldedaten, setzen Malware ein und etablieren Persistenz in den betroffenen Netzwerken.
Wie die Angreifer mit legitimen RMM-Tools operieren 🛡️
Die Angreifer senden E-Mails oder Nachrichten, die vorgeben, technischer Support zu sein, und verleiten das Opfer dazu, SimpleHelp oder ScreenConnect herunterzuladen. Nach der Ausführung ermöglicht die legitime Software die Fernsteuerung, ohne bei den Antivirenprogrammen Verdacht zu erregen. Anschließend setzen die Angreifer schädliche Nutzlasten wie Passwortdiebstahl-Tools, Ransomware oder Hintertüren ein und ändern Systemkonfigurationen, um ihren dauerhaften Zugriff zu sichern.
Der technische Support, den niemand angefordert hat und niemand braucht 🚨
Es stellt sich heraus, dass der beste Weg, in ein Unternehmen einzudringen, nicht mit komplexen Exploits ist, sondern indem man höflich darum bittet, ein Fernsteuerungsprogramm zu installieren. Die Angreifer verhalten sich wie dieser Techniker, der ohne Vorwarnung auftaucht, dir sagt, dein PC habe einen Virus, und dir dann die Passwörter stiehlt. Das Schlimmste ist, dass die Software legal ist; das Verbrechen besteht darin, dass sie dir als offizieller Support verkauft wurde.