Phishing-Attacke auf Ikea-Mailserver

Ikea hat mit einer Phishing-Attacke zu kämpfen. Angreifer verschickten vertrauenswürdig aussehende Antwort-E-Mails mit infizierten Links oder Anhängen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 49 Beiträge
Ikea

(Bild: Pavel Ignatov/Shutterstock.com)

Von
  • Marie-Claire Koch

Ikea hat derzeit mit einem laufenden Angriff auf sein E-Mail-System zu tun, bei dem Angreifer mit gestohlenen E-Mail-Antwortketten (reply-chain emails) auf die Postfächer von Mitarbeitern zielen, wie das US-Medium Bleeping Computer berichtet. Bei den versendeten Antwortketten-E-Mails handelt es sich um E-Mails des Unternehmens, die allerdings von kompromittierten E-Mail-Konten verschickt werden, aber mit Malware enthaltenden Links oder Anhängen versehen sind. Aufgrund des vertrauenswürdigen Aussehens ist die Wahrscheinlichkeit höher, dass Mitarbeiter die Anhänge herunterladen und Rechner infizieren.

Phishing-Attacke bei Ikea

(Bild: Ikea)

In einer Bleeping Computer vorliegenden E-Mail an Ikea-Mitarbeiter heißt es: "Es gibt eine laufende Cyberattacke, die auf Inter-IKEA-Mailboxen abzielt. Andere IKEA-Organisationen, Lieferanten und Geschäftspartner sind von derselben Attacke betroffen und verbreiten bösartige E-Mails an Personen bei Inter IKEA". Die Mails sehen so aus, als ob sie von Kollegen oder von externen Organisationen als Antwort auf eine bereits laufende Konversation kommen. Darum ist schwer zu erkennen, ob es sich bei der empfangenen E-Mail um eine Phishing-Mail handelt.

Ikea warnt seine Mitarbeiter vor E-Mails, die am Ende eines Links sieben Zahlen enthalten, und fordert seine Mitarbeiter auf, diese nicht zu öffnen und stattdessen an die IT-Abteilung zu melden – auch, wenn sie von vertrauenswürdigen Absendern stammen. Beim Aufruf dieser URLs wird ein Browser zu einem Download namens "charts.zip" umgeleitet, der ein mit Makros präparierte Excel-Dokument enthält. In diesem Anhang werden die Empfänger aufgefordert, auf die Schaltflächen "Inhalte aktivieren" oder "Bearbeitung aktivieren" zu klicken, um das Dokument ordnungsgemäß anzuzeigen. Bei Klick auf die Schaltflächen werden laut Bleeping Computer die bösartigen Makros ausgeführt, die Dateien mit den Namen "besta.ocx", "bestb.ocx" und "bestc.ocx" von einer Remote-Site herunterladen und im Ordner C:\Datop speichern.

Angreifer hatten interne Microsoft Exchange-Server kompromittiert, indem sie die Schwachstellen ProxyShell und ProxyLogin für Phishing-Angriffe ausnutzten. Nach Zugang zu einem Server wurden die internen Microsoft Exchange-Server genutzt, um mit den gestohlenen E-Mail-Adressen der Mitarbeiter Antwortketten-Angriffe zu starten.

Emotet- und Qbot-Trojaner hatten ähnliche Methoden angewendet. Erst kürzlich wurde Emotets Rückkehr bekannt – die zeitweise als gefährlichste Schadsoftware galt. Anfang des Jahres gelang ein Schlag gegen das Emotet-Netzwerk, mit der Malware Trickbot infizierte Maschinen begannen vor Kurzem jedoch die Installation neuer Emotet-Varianten.

(mack)