"Sock Puppets" lassen Phishing-Angriffe realistischer wirken 

Eine vom Iran unterstützte Hackergruppe, die sogenannte TA453, der sogar Verbindungen zur iranischen Revolutionsgarde nachgesagt werden, nutzt eine neue, aufwendige Methode für ihre Attacken. Es handelt sich dabei um eine Phishing-Technik, bei der die Angreifer mehrere verschiedene Personas und E-Mailadressen einsetzen, um dem Opfer eine realistische Unterhaltung vorzugaukeln.

Die Hacker schreiben ihr Opfer an, und nehmen dabei gleich eine weitere E-Mailadresse ins CC, die ebenfalls von ihnen erstellt wurde. Von dieser zweiten Adresse aus beantworten sie dann die originale Mail und täuschen so den Start einer legitimen Konversation vor.

Das beschriebene Vorgehen wurde von Spezialisten von Proofpoint, die die neue Art von Angriff als erste entdeckten, "Multi-Persona Impersonation", oder kurz MPI, getauft. Dabei stützen sich die Angreifer auf eine psychologische Technik, die auch als "Social Proof" bekannt ist, um ihrer Opfer durcheinander zu bringen und ihre eigenen, falschen Behauptungen glaubwürdig aussehen zu lassen.

Die neue Taktik für Phishing-Angriffe ist sehr ressourcen- und zeitintensiv, da die Ziele durch aufwendige, realistisch scheinende Unterhaltungen mit mehreren vorgetäuschten Personen, sogenannten "Sock Puppets", hereingelegt werden müssen.

Der Einsatz der "Sock Puppets" mag zwar aufwendig sein, doch er zahlt sich aus. So berichten die Spezialisten von Proofpoint unter anderem von einem Fall, in dem die Persona im CC des originalen E-Mails mit einem OneDrive-Link antwortete, der nach dem Klick den Download eines Dokuments mit Malware einleitete. Das Ziel dieser Attacke waren Wissenschaftler, die im Bereich Genomforschung tätig sind.

In einem weiteren, noch feiner ausgearbeiteten, Angriff, waren Organisationen, die sich auf die nukleare Rüstungskontrolle spezialisieren, das Ziel von TA453. Hier waren sogar drei "Sock Puppets" im CC der originalen E-Mail.

Bei den Dokumenten, welche die hereingelegten Opfer heruntergeladen haben, handelte es sich um passwortgeschützte Dateien, die eine Template Injection einleiteten. Das von den Spezialisten bei Proofpoint "Korg" getaufte Template hat drei Makros. Diese sammeln Informationen, wie beispielsweise Usernamen oder laufende Prozesse, und senden sie via Telegram API an die Hacker.

Vertreter von Proofpoint gehen davon aus, dass TA453 nach weiteren Schritten sogar Codeausführungsfähigkeiten im infizierten System erhalten würde. In dieser Tiefe konnten die Experten den Angriff jedoch nicht auswerten.

Eine leicht zu erkennende Schwachstelle hat diese neue Angriffs-Variante jedoch. Laut Proofpoint verwendeten die Hacker in jedem analysierten Fall E-Mailadressen von Gmail, Outlook, AOL oder Hotmail, sowohl für den Absender als auch die Personas im CC, an Stelle von Adressen der Organisationen, deren Zugehörigkeit sie vortäuschen wollten. Ein klares Zeichen für eine verdächtige Aktivität.