Einer unserer Kunden erhielt kürzlich eine E-Mail mit dem Hinweis, dass eine unbezahlte Rechnung sofortige Maßnahmen erfordere. Der Anhang bestand aus einem RAR-Archiv – ein sofortiges Warnsignal, zumal alle Empfänger versteckt waren. Verständlicherweise wandte sich unser Kunde an uns, um die Echtheit der Nachricht zu überprüfen.

Bei der Analyse stellte sich schnell heraus, dass es sich um eine Phishing-Mail handelte. Doch was unsere Aufmerksamkeit besonders erregte, war die Tatsache, dass die E-Mail die Sicherheitsfilter des Kunden erfolgreich umgangen hatte. Grund genug, einen genaueren Blick auf die Angriffskette und die Methoden des Angreifers zu werfen.

Einer unserer deutschen Kunden wurde kürzlich von einem Administrator eines anderen Unternehmens darüber informiert, dass Rechnungsemails mit Malware verschickt werden, die das E-Mail-Template unseres Kunden verwenden.

Bei einer ersten Untersuchung wurde festgestellt, dass die Kunden- und Rechnungsnummern in den bösartigen E-Mails zu einem legitimen Kunden unseres Kunden gehörten. Dies deutet darauf hin, dass der Angreifer vermutlich eine Original-E-Mail durch die Kompromittierung eines Kunden-E-Mail-Kontos erlangte und deren Inhalt für seine bösartige Kampagne nutzte.

Der meldende Administrator stellte uns die gesamte E-Mail, einschließlich des schädlichen Anhangs, für eine weitere Analyse zur Verfügung.

Dadurch waren wir in der Lage, die Infektionskette gründlich zu untersuchen und aufzudecken.