Home IT Sicherheits Updates Forscher warnen vor Zunahme von Phishing-Angriffen über dezentralisierte IPFS-Netzwerke

Forscher warnen vor Zunahme von Phishing-Angriffen über dezentralisierte IPFS-Netzwerke

by nwna_de

Die als IPFS bekannte dezentrale Dateisystemlösung entwickelt sich zur neuen „Brutstätte“ für das Hosten von Phishing-Sites, warnen Forscher.

Das Cybersicherheitsunternehmen Trustwave SpiderLabs, das Einzelheiten der Angriffskampagnen offenlegte, gab an, in den letzten drei Monaten nicht weniger als 3.000 E-Mails mit IPFS-Phishing-URLs als Angriffsvektor identifiziert zu haben.

IPFS, kurz für InterPlanetary File System, ist ein Peer-to-Peer (P2P)-Netzwerk zum Speichern und Freigeben von Dateien und Daten mithilfe von kryptografischen Hashes anstelle von URLs oder Dateinamen, wie dies bei einem herkömmlichen Client-Server-Ansatz der Fall ist. Jeder Hash bildet die Grundlage für eine eindeutige Inhaltskennung (CID).

Die Idee ist, ein belastbares verteiltes Dateisystem zu schaffen, das es ermöglicht, Daten auf mehreren Computern zu speichern. Dies würde den Zugriff auf Informationen ermöglichen, ohne sich auf Dritte wie Cloud-Speicheranbieter verlassen zu müssen, was sie effektiv resistent gegen Zensur macht.

Internet-Sicherheit

„Das Entfernen von Phishing-Inhalten, die auf IPFS gespeichert sind, kann schwierig sein, denn selbst wenn sie in einem Knoten entfernt werden, können sie immer noch auf anderen Knoten verfügbar sein“, so die Trustwave-Forscherinnen Karla Agregado und Katrina Udquin sagte in einem Bericht.

Erschwerend kommt hinzu, dass es keinen statischen Uniform Resource Identifier (URI) gibt, der zum Auffinden und Blockieren eines einzelnen mit Malware beladenen Inhalts verwendet werden kann. Dies bedeutet auch, dass es viel schwieriger sein könnte, auf IPFS gehostete Phishing-Sites auszuschalten.

Die von Trust beobachteten Angriffe beinhalten typischerweise eine Art von Social Engineering, um die Abwehr von Zielen zu verringern, um sie dazu zu bringen, auf betrügerische IPFS-Links zu klicken und die Infektionsketten zu aktivieren.

Diese Domänen fordern potenzielle Opfer auf, ihre Anmeldeinformationen einzugeben, um ein Dokument anzuzeigen, ein Paket bei DHL zu verfolgen oder ihr Azure-Abonnement zu erneuern, nur um die E-Mail-Adressen und Kennwörter an einen Remote-Server zu übertragen.

„Mit Datenpersistenz, robustem Netzwerk und wenig Regulierung ist IPFS vielleicht eine ideale Plattform für Angreifer, um bösartige Inhalte zu hosten und zu teilen“, sagte der Forscher.

Die Ergebnisse kommen inmitten einer größeren Verschiebung in der E-Mail-Bedrohungslandschaft, wobei Microsofts Pläne, Makros zu blockieren, dazu führen, dass Bedrohungsakteure ihre Taktiken anpassen, um ausführbare Dateien zu verteilen, die zu nachfolgender Aufklärung, Datendiebstahl und Ransomware führen können.

So gesehen stellt die Verwendung von IPFS eine weitere Entwicklung im Phishing dar und bietet Angreifern eine weitere lukrative Spielwiese zum Experimentieren.

„Phishing-Techniken haben einen Sprung gemacht, indem sie das Konzept dezentralisierter Cloud-Dienste mit IPFS genutzt haben“, schlussfolgerten die Forscher.

Internet-Sicherheit

“Die Spammer können ihre Aktivitäten leicht tarnen, indem sie ihre Inhalte in legitimen Webhosting-Diensten hosten oder mehrere URL-Umleitungstechniken verwenden, um Scannern mit URL-Reputation oder automatisierter URL-Analyse einen Strich durch die Rechnung zu machen.”

Darüber hinaus wurden diese Änderungen auch von der Verwendung von Standard-Phishing-Kits begleitet – ein Trend namens Phishing-as-a-Service (PhaaS) – die Angreifern eine schnelle und einfache Möglichkeit bieten, Angriffe per E-Mail zu starten und SMS.

Tatsächlich haben Forscher von IronNet eine großangelegte Kampagne abgeschlossen, bei der eine vier Monate alte PhaaS-Plattform namens Robin Banks verwendet wurde, um Anmeldeinformationen zu plündern und Finanzinformationen von Kunden bekannter Banken in Australien, Kanada, Großbritannien und den USA zu stehlen UNS

„Während die Hauptmotivation für Betrüger, die dieses Kit verwenden, finanzieller Natur zu sein scheint, fragt das Kit die Opfer auch nach ihren Google- und Microsoft-Anmeldeinformationen, nachdem sie zur Phishing-Landingpage gegangen sind, was darauf hindeutet, dass es auch von fortgeschritteneren Bedrohungsakteuren verwendet werden könnte, die nach Gewinn suchen ersten Zugriff auf Unternehmensnetzwerke für Ransomware oder andere Post-Intrusion-Aktivitäten”, so die Forscher sagte.

Via HN