Eine Phishing-Kampagne hat über 80 Organisationen kompromittiert, indem sie legitime Fernzugriffstools wie SimpleHelp und ScreenConnect nutzt. Die Angreifer täuschen die Opfer, um diese Programme zu installieren, und erlangen so die vollständige Kontrolle über die Systeme. Einmal im System, stehlen sie Anmeldedaten, setzen Malware ein und etablieren Persistenz in den betroffenen Netzwerken.
Wie Angreifer mit legitimen RMM-Tools operieren 🛡️
Die Angreifer senden E-Mails oder Nachrichten, die vorgeben, vom technischen Support zu sein, und verleiten das Opfer dazu, SimpleHelp oder ScreenConnect herunterzuladen. Bei der Ausführung ermöglicht die legitime Software die Fernsteuerung, ohne bei Antivirenprogrammen Verdacht zu erregen. Anschließend setzen die Angreifer schädliche Nutzlasten wie Credential-Stealer, Ransomware oder Hintertüren ein und ändern Systemkonfigurationen, um ihren dauerhaften Zugriff zu sichern.
Der technische Support, den niemand bestellt hat und niemand braucht 🚨
Es stellt sich heraus, dass der beste Weg, in ein Unternehmen einzudringen, nicht mit komplexen Exploits ist, sondern indem man höflich darum bittet, ein Fernsteuerungsprogramm zu installieren. Die Angreifer verhalten sich wie dieser Techniker, der ohne Vorankündigung auftaucht, dir sagt, dein PC habe einen Virus, und dir dann die Passwörter stiehlt. Das Schlimmste ist, dass die Software legal ist; das Verbrechen besteht darin, dass sie dir als offizieller Support verkauft wurde.