Bedrohungserkennung: Phishing-Kampagne mit Zoom-Einladungen

Neueste Bedrohungen

Juni 16, 2020

2 min zu lesen

Bedrohungserkennung: Phishing-Kampagne mit Zoom-Einladungen

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Zoom-Themen-Köder werden weiterhin aktiv von Cyberkriminellen genutzt und stehen an vorderster Stelle der am häufigsten verwendeten Themen in Phishing-Kampagnen. Seit Beginn der Lockdown-Maßnahmen stieg die Popularität von Zoom, ebenso die Anzahl der Angriffe. Und selbst nachdem Forscher ernsthafte Sicherheitsprobleme mit dem Dienst entdeckten, haben viele Organisationen nicht auf seine Nutzung verzichtet. 

Zu diesem Thema haben wir zuvor einen praktischen Leitfaden zur Härtung des Zoom-Dienstesveröffentlicht, und es sind bereits über ein Dutzend Regeln im Threat Detection Marketplace verfügbar, um schädliche Domains, gefälschte Installationsprogramme und mehr zu erkennen. Die Liste der Regeln finden Sie hier.

Heute, in unserer Kolumne Threat Hunting Content, wird die von der Gemeinschaft eingereichte Regel von Osman Demir vorgestellt, die eine Phishing-Kampagne mit Zoom-Einladungen erkennt: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Forscher von Cofense beobachteten eine neue Phishing-Kampagne, die als Video-Konferenzeinladung getarnt ist, um Microsoft-Zugangsdaten von Nutzern zu erhalten. Die Kampagne zielt hauptsächlich auf Remote-Arbeiter ab, die mit Videokonferenzen und den damit verbundenen E-Mails nicht vertraut sind. Einige Nutzer haben möglicherweise nicht die optimale Heimwerker-Ausstattung und arbeiten an Monitoren, die ihnen kaum eine richtige Ansicht ermöglichen, was es erschwert, diese E-Mails genau zu prüfen. Die E-Mail selbst erinnert an eine legitime Kommunikation – das blaue Zoom-Logo, eine vage Erwähnung einer Videokonferenz, der Nutzer beitreten sollen, und ein Link, über den sie die Einladung einsehen können; sie ist unauffällig genug und weitgehend frei von grammatikalischen Fehlern. 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initial Access

Techniken: Spearphishing Link (T1192)

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Telychko