Neue SSA-bezogene Phishing-Kampagne installiert ScreenConnect mit einem Trojaner

Inhalt

Überblick

Social-Engineering-Taktiken

Angriffsvektoren und Techniken

Auswirkung

Abwehr und Erkennung

Hinweise auf Kompromittierung

Verwandte Produkte

Cloudflare Email Security

Überblick

Phishguard hat einen Anstieg von Phishing-Kampagnen im Zusammenhang mit der Social Security Administration (SSA) festgestellt, die versuchen, Benutzeranmeldedaten zu stehlen oder trojanisierte Remote-Monitoring- und Management-Tools (RMM) wie ScreenConnect zu installieren, die bei der Installation umfassende Kontrolle über den Computer des Opfers ermöglichen. Nachdem der erste Zugriff erfolgt ist, haben Angreifer den Benutzer auch angewiesen, die Microsoft Phone Link-App zu installieren und zu synchronisieren, um möglicherweise Daten auszuschleusen, Textnachrichten zu lesen und Zwei-Faktor-Authentifizierungscodes zu erfassen, die an das verbundene Mobilgerät gesendet werden.

Wir glauben, dass Angreifer die jüngsten aufsehenerregenden Störungen der SSA ausnutzen, um Angst, Unsicherheit und Zweifel bei potenziellen Opfern hinsichtlich des Status ihrer Konten bei der Behörde zu schüren. Dies entspricht auch einem Muster, das Phishguard bei Angriffen beobachtete, die andere aktuelle politische Ereignisse ausnutzen, darunter der starke Anstieg von kryptobezogenen Betrügereien mit der Einführung von $TRUMP Mitte Januar 2025.

Beispiel einer SSA-Phishing-Angriffskette

Social-Engineering-Taktiken

Um Sicherheitsfilter zu umgehen, nutzen SSA-Betrugsmaschen kompromittierte Server und Websites, um ihre E-Mails zu versenden, beispielsweise von vertrauenswürdigen Marken. In einfachen Fällen nutzen Betrüger kostenlose E-Mail-Konten (wie Gmail oder Outlook) und ändern einfach den Anzeigenamen des Absenders zu „Social Security Administration“, in der Hoffnung, dass der Empfänger die vollständige E-Mail-Adresse nicht überprüft. Angreifer umgehen Sicherheitsfilter auch mit ausgefeilten Techniken wie dem Einbetten von Phishing-Inhalten in Bilder und der Verwendung von einmaligen Download-Links.

Viele Phishing-Nachrichten versuchen, die Empfänger zu alarmieren, indem sie behaupten, dass etwas mit ihrem Sozialversicherungsstatus nicht stimmt und sofortiges Handeln erforderlich ist. Die Nachrichten enthalten häufig offizielle SSA-Logos, Formatierungen und Haftungsausschlüsse, um so authentisch wie möglich zu erscheinen.

Eine kürzlich durchgeführte Phishing-Kampagne verschickte E-Mails mit alarmierenden Betreffzeilen wie „Ihre Sozialversicherungsnummer wird gesperrt (Fall-ID - SSA-526487442)“ oder „Verdächtige Aktivitäten in Ihrem Sozialversicherungsnummer-Konto entdeckt“. Einige E-Mails behaupten, dass „wichtige Änderungen“ am SSA-Konto des Empfängers vorgenommen wurden, und fordern ihn auf, auf einen Link zu klicken, um sich „anzumelden“:

Beispiel für eine SSA-bezogene Phishing-E-Mail, die „wichtige Änderungen“ hervorhebt.

Eine weitere E-Mail weist das Opfer auf einen ‚potenziellen Fehler‘ in seinem letzten Bericht hin und fordert es auf, ‚auf seine aktualisierte Stellungnahme zuzugreifen‘, indem es auf eine ‚Schaltfläche‘ klickt, die scheinbar auf „www.socialsecurity.gov/reviewyourstatement“ verweist, die Benutzer jedoch tatsächlich auf „hxxps://ssa-storeattsment[.]com“ umleitet, eine betrügerische Website, die darauf ausgelegt ist, Anmeldedaten zu stehlen:

In den jüngsten SSA-Betrügereien behaupten die Angreifer, dass das SSA-Dokument des Empfängers „für die Anzeige auf Windows-PCs/-Laptops optimiert“ sei und fordern den Benutzer auf, es auf einem Windows-Gerät zu öffnen – dem einzigen Betriebssystem, auf dem die trojanisierte „ScreenConnect.exe“ ausgeführt werden könnte:

Phishing-E-Mail mit dem Vermerk „Das Dokument ist für die Anzeige auf Windows-PCs/Laptops optimiert“

Angriffsvektoren und Techniken

PhishGuard hat kürzlich eine Zunahme der blockierten Phishing-E-Mails festgestellt, die Links enthalten, welche legitime WordPress-Websites als Weiterleitungen verwenden. Die E-Mail stammt zwar nicht von einem kompromittierten WordPress-Server, aber der Angreifer bettet Links ein, die auf WordPress-Seiten verweisen, die er kontrolliert oder kompromittiert hat. Diese Websites leiten die Opfer dann auf böswillige Domains um – z. B. auf billige, einmalige .xyz-Seiten, die Anmeldeinformationen sammeln oder Fernzugriffsnutzlasten hosten.

Diese Phishing-Seiten enthalten manchmal einen Hinweis, dass das „Dokument“ nur von einem Windows-Gerät aus zugänglich ist – eine Taktik, die die Opfer zum Öffnen der .exe-Datei auf einer Plattform bewegen soll, auf der sie erfolgreich ausgeführt werden kann. Zum Beispiel:

Eine E-Mail kann auch von einer legitimen, aber kompromittierten Infrastruktur stammen (z. B. von einer Domain eines kleinen Unternehmens), wodurch die Adresse des Absenders weniger verdächtig erscheint. Diese legitimen Domains werden möglicherweise nicht von Spam-Filtern auf die schwarze Liste gesetzt, wodurch Phishing-Angriffe durchschlüpfen können. In einigen Fällen registrieren die Angreifer auch ähnlich aussehende Domains oder erstellen Subdomains mit Begriffen wie „ssa“ oder „social-security“, um den Betrug weiter zu verschleiern. Durch die Nutzung legitimer, jedoch nicht autorisierter Server können E-Mails grundlegende Authentifizierungsprüfungen umgehen; die Nachrichten bestehen die SPF- und DKIM-Validierung, da die sendende Domain existiert – sie gehört jedoch nicht der SSA und wird nicht von ihr betrieben.

Ein markanter Aspekt der beobachteten SSA-Phishing-Kampagne ist die Nutzung einer mit einem Trojaner infizierten Version von ScreenConnect, einem legitimen Remote-IT-Support-Tool, das häufig von Unternehmen verwendet wird. Die von Phishguard identifizierte Variante wird über einen schädlichen Link in der Phishing-Nachricht zugestellt. Beim Klicken lädt der Link einen ScreenConnect-Client herunter, der auf Bitbucket unter hxxps://bitbucket[.]org/iojuhygfrtdtyguygudu/qsxd/downloads/SocialSecurityAdminUpd05212025.exe gehostet ist. Der trojanisierte Client kommuniziert mit pulseriseglobal[.]com, wahrscheinlich für böswillige Folgeaktivitäten (z. B. Command-and-Control oder Herunterladen zusätzlicher böswilligen Nutzlasten wie Infostealer oder Ransomware).

Sobald der trojanisierte Client auf dem System des Opfers installiert ist, hat der Angreifer im Wesentlichen die gleiche Kontrolle wie ein IT-Administrator, was ihm vieles ermöglicht:

• Vollständige Fernsteuerung erlangen: Sehen und interagieren mit dem gesamten Bildschirm des Opfers und steuern der Maus und Tastatur, als wäre man physisch am Gerät.

• Befehle und Skripte ausführen: Ausführungen von Befehlen im Hintergrund mit Tools wie der Eingabeaufforderung und PowerShell aus, um das System neu zu konfigurieren, Sicherheitssoftware zu deaktivieren oder das Netzwerk auszukundschaften.

• Dateien verwalten: Kostenlose Übertragung von Dateien zum und vom Computer des Opfers. Dies ermöglicht ihnen, sensible Daten auszuschleusen oder zusätzliche bösartige Werkzeuge wie Ransomware oder Spyware hochzuladen.

• Zugriff auf Komponenten auf Systemebene: Interagieren mit kritischen Systemdiensten, einschließlich des Task-Managers zum Beenden von Prozessen, des Registrierungs-Editors für dauerhafte Änderungen und des Datei-Explorers zum Navigieren im gesamten Dateisystem.

E-Mail-Element wurde bei der Zustellung markiert und zurückgezogen, wodurch der Trojaner daran gehindert wurde, die Endpunkte zu erreichen

In einigen Fällen leiten die bösartigen Links in den Phishing-Nachrichten die Nutzer auf eine Website, die sie anweist, die schädliche ausführbare Datei ScreenConnect auszuführen und sich dann mit ihren Microsoft-Kontodaten bei der Phone Link-App von Microsoft anzumelden.

Wie in den unten gezeigten Bilder zu sehen ist, beginnt der Angriff, wenn ein Benutzer dazu verleitet wird, die Phishing-Seite hxxps://redplay[.]store/statement/ssa zu besuchen. In dieser Version des Angriffs wird der Benutzer angewiesen, die Schritte auf der Phishing-Startseite zu befolgen, um das herunterzuladen, was er für seinen Sozialversicherungsnachweis hält, es handelt sich jedoch um die bösartige ausführbare Datei „ssa.statement.exe“, die als macOS-Paket (`ssa.statement.pkg`) getarnt ist. Nach dem Herunterladen muss das Opfer die ausführbare Datei doppelklicken, um die trojanisierte Version von ScreenConnect zu starten, die dem Angreifer die Kontrolle über das System des Opfers ermöglicht. Die ersten beiden Schritte auf der Phishing-Startseite fordern den Benutzer auf, den schädlichen ScreenConnect-Client herunterzuladen und auszuführen, da der Angreifer vor dem Fortfahren Zugriff auf die Systemebene benötigt.

Da das System nun kompromittiert ist, wird das Opfer in den verbleibenden Schritten angewiesen, auf die legitime Microsoft Phone Link-App zuzugreifen und ihr Berechtigungen zu erteilen. Phone Link, eine von Microsoft entwickelte Synchronisierungsanwendung, die Windows-PCs mit Android- und iOS-Mobilgeräten verbindet, wird in diesem Kontext von Angreifern genutzt, um einen Kommunikationskanal einzurichten, ohne physischen Zugriff auf das Mobilgerät oder dessen Passcode zu benötigen.

Da der Angreifer den PC bereits über die trojanisierte Version von ScreenConnect kontrolliert, kann er den Gerätekopplungsprozess überwachen und manipulieren. Sie schauen dem Benutzer im Wesentlichen über die Schulter, um sicherzustellen, dass die Verbindung zwischen dem PC und dem Smartphone des Benutzers genehmigt und hergestellt wird.

Sobald die Verbindung mit Phone Link hergestellt ist, erhält der Angreifer indirekten Zugriff auf das Mobilgerät des Opfers über die synchronisierte Verbindung auf dem kompromittierten Computer. Dadurch können die Angreifer:

• SMS-Nachrichten lesen, möglicherweise Codes für die Zwei-Faktor-Authentifizierung erfassen.

• Benachrichtigungen von verschiedenen Apps einsehen

• Auf Fotos, Kontakte, Anrufverlauf und Inhalte der Zwischenablage zugreifen

• Anrufe tätigen

• Den Bildschirm des Telefons live sehen, um direkt über den kompromittierten PC mit mobilen Apps zu interagieren

Auswirkung

Persönliche Auswirkungen:

• Direkter finanzieller Verlust: Im Jahr 2024 war E-Mail der Kontaktweg für 25 % der Betrugsmeldungen. Von diesen führten 11 % zu einem finanziellen Verlust, was einem Gesamtverlust von 502 Millionen Dollar und einem mittleren Verlust von 600 Dollar pro Vorfall entspricht.

• Kompromittierung persönlicher Konten, die zu Identitätsdiebstahl führt: Phishing-Kampagnen sind eine primäre Methode für Angreifer, um personenbezogene Informationen zu erlangen, was 2024 zu 1,1 Millionen Meldungen über Identitätsdiebstahl beitrug, wobei Kreditkartenbetrug und Betrug mit staatlichen Leistungen die Hauptkategorien waren.

• Erheblicher Zeitaufwand für die Opfer: Opfer von Identitätsdiebstahl, der oft durch Phishing eingeleitet wird, sind mit einem erheblichen Zeitaufwand konfrontiert. Im Geschäftsjahr 2024 dauert es in Steuerfällen durchschnittlich mehr als 22 Monate (676 Tage), bis sie gelöst werden.

Auswirkungen auf die Organisation

• Phishing als häufigste Methode für Datenverstöße: Untersuchungen von Comcast zeigen, dass 67 % aller Datenverstöße mit einem Klick auf einen scheinbar sicheren Link beginnen.

• Diebstahl von Zugangsdaten durch Phishing: Laut Picus Security ist die Zahl der gestohlenen Anmeldedaten 2024 im Vergleich zu den Vorjahren um 300 % in die Höhe geschnellt.

• Verbreitung von Remote Access Tools (RMM) bei Ransomware-Angriffen: ThreatDown berichtete über den zunehmenden Einsatz legitimer Remote Monitoring and Management (RMM)-Tools durch Ransomware-Banden bei ihren Angriffen.

Abwehr und Erkennung

Die Abwehr von SSA-basiertem Phishing erfordert sowohl individuelle als auch organisatorische Maßnahmen, wie zum Beispiel:

• Cyberhygiene: Klicken Sie nicht auf Links, es sei denn, Sie haben überprüft, dass sie nicht bösartig sind; halten Sie alle Software auf dem neuesten Stand; deaktivieren Sie Office-Makros.

• Phishing-E-Mails abfangen: Verwenden Sie erweiterte E-Mail-Sicherheitsfilter, um Betrug zu stoppen, bevor sie den Posteingang erreichen. Cloudflare Email Security erkennt SSA-Imitator-E-Mails in Echtzeit mithilfe von E-Mail-Erkennungs-Fingerabdrücken (EDF) und maßgeschneiderten Erkennungen, wie die unten aufgeführten Beispiele zeigen:

  • SocialSecurityAdministration.Link.Text.URL_Shorteners - Erkennt SSA-gekennzeichnete Nachrichten, die bösartige URLs hinter Link-Verkürzern verbergen.

  • SocialSecurityAdministration.Recent_Domain: Das Domainalter wird berücksichtigt; neu registrierte SSA-Lookalikes sind ein Warnsignal.

• Analyse von verdächtigem Verhalten: Verwenden Sie Tools wie Microsoft Defender XDR oder CrowdStrike Falcon, um die unerwartete Nutzung von RMM-Tools wie ScreenConnect zu erkennen.

• Regelmäßige Sicherung kritischer Daten: Erfolgreiche Phishing-Angriffe können zur Installation von Folge-Payloads wie Ransomware oder Wipern führen, daher sind Backups entscheidend. Sichern Sie regelmäßig kritische Daten, wobei Kopien offline gespeichert werden.

Die Cloudflare-Teams für PhishGuard und E-Mail-Erkennung haben eine Reihe von Erkennungen bereitgestellt, um bösartige E-Mails im Zusammenhang mit SSA zu blockieren. Diese Erkennungen bewerten die Domain-Reputation sowie die Fähigkeit, verdächtige Regierungsstimmungen und Markenbildung in den Nachrichten zu identifizieren. Wir kombinieren diese hochzuverlässigen Erkennungen in unserer Produktionsumgebung mit proaktiven Techniken zur Suche nach E-Mail-Bedrohungen, um neue E-Mail-basierte Bedrohungen zu identifizieren. Darüber hinaus nutzen diese Erkennungen unsere Machine Learning-Modelle, die E-Mail-Inhalte, Sentiment und Metadaten analysieren, um bösartige Nachrichten zu erkennen und zu kennzeichnen.

Hinweise auf Kompromittierung

Ausführbare Dateien

E-Mail-Erkennungs-Fingerabdrücke (E-Mail Detection Fingerprints, EDF)