Ein raffinierter Phishing-Angriff, orchestriert von der Bedrohungsgruppe TA547, bedroht zahlreiche deutsche Unternehmen mit einer fortschrittlichen Form des Informationsdiebstahls. Die Angreifer setzen dabei auf den Rhadamanthys Stealer, verpackt in einer scheinbar harmlosen Rechnungskampagne.
Die Sicherheitsexperten von Proofpoint berichten erstmals über den Einsatz des Rhadamanthys Stealers durch TA547. Diese Malware wird von verschiedenen Cyberkriminalitätsakteuren genutzt und zeichnet sich durch ihre Fähigkeit aus, vertrauliche Daten unbemerkt zu entwenden. Besonders bemerkenswert ist der Einsatz eines PowerShell-Skripts, das vermutlich mit Hilfe eines umfangreichen Sprachmodells (LLM) generiert wurde.
Die Masche: Metro AG als Köder
Die aktuelle Angriffswelle tarnt sich geschickt hinter E-Mails, die vorgeben, von der bekannten deutschen Handelsgruppe Metro AG zu stammen. Die Nachrichten locken mit einer angeblichen Rechnung, die in einer passwortgeschützten ZIP-Datei verschlüsselt ist. Öffnet ein Empfänger diese Datei, wird ein schädliches PowerShell-Skript aktiviert, das den Rhadamanthys Stealer direkt im Speicher des Opfercomputers ausführt.
Das verwendete PowerShell-Skript ist präzise formuliert und enthält detaillierte, grammatikalisch einwandfreie Kommentare zu jedem Befehl, was die Theorie stützt, dass hierfür ein Sprachmodell genutzt wurde. Diese Methode könnte darauf hindeuten, dass TA547 entweder selbst fortschrittliche KI-Technologien einsetzt oder solche Skripte von Dritten bezieht, die KI-gestützte Entwicklertools verwenden.
Technologische Neuerungen und Sicherheitsrisiken
Diese Kampagne zeigt deutliche Weiterentwicklungen in den technischen Methoden von TA547, darunter der erstmalige Einsatz des Rhadamanthys Stealers sowie die Verwendung komprimierter LNK-Dateien, um die Malware zu verbreiten. Proofpoint hebt hervor, dass dies Einblicke in die zunehmende Verwendung von KI-generierten Inhalten in Malware-Kampagnen bietet.
Zusätzlich nutzen Phishing-Kampagnen vermehrt unkonventionelle Methoden wie gefälschte Benachrichtigungen über Voicemails, um Benutzer dazu zu verleiten, auf bösartige Links zu klicken. Diese Links führen zu Seiten, die ausgeklügeltes JavaScript innerhalb von SVG-Bildern ausführen und die Opfer auffordern, ihre Anmeldedaten einzugeben.
Vorsichtsmaßnahmen und Absicherung
Angesichts dieser Bedrohungen empfehlen Sicherheitsexperten, darunter Jérôme Segura von Malwarebytes, die Implementierung von Gruppenrichtlinien, die den Datenverkehr von und zu bekannten sowie weniger bekannten Werbenetzwerken blockieren. Dies soll Endgeräte vor den immer raffinierteren Angriffen schützen.
Die Attacken gegen deutsche Firmen, insbesondere unter dem Deckmantel der Metro AG, sollten als dringender Weckruf für alle Unternehmen dienen, ihre Cybersicherheitsmaßnahmen zu überprüfen und zu verstärken. Der fortgesetzte Wandel der Angriffstechniken zeigt, dass eine stetige Anpassung und Aktualisierung der Sicherheitsstrategien unerlässlich ist.