Zusammenfassung

Man sollte nur E-Mail-Anhänge und Links von Absendern öffnen, die man kennt. Das ist ein oft gegebener Ratschlag, wenn es darum geht, E-Mail-basierte Malware und Phishing-Angriffe zu verhindern. Im folgenden Artikel zeigen wir jedoch eine Angriffstechnik bei der die bestehenden E-Mail-Konversationen eines Phishinig-Opfers und damit die Vertrauensbeziehungen genutzt werden, um sich auf neue Systeme zu verbreiten – bekannt ist diese Technik als E-Mail Conversation Thread Hijacking. Gegen diese Art von Angriff hilft der vorherige Ratschlag nicht weiter. Wir erklären, wie E-Mail Conversation Thread Hijacking von Angreifern eingesetzt wird und warum es die Wahrscheinlichkeit dramatisch erhöht, dass ihre Opfer schädliche Links oder Anhänge öffnen.

 

Hintergründe

Um ihre Ziele zu erreichen, imitieren Hacker oft „echte“ E-Mails, wie zum Beispiel Zahlungsaufforderungen mit angehängten Dokumenten wie Rechnungen. Wenn ein Opfer jedoch nicht Kunde eines bestimmten Unternehmens ist oder eine Dienstleistung bezogen hat, wird es wahrscheinlich auch keine Rechnungen öffnen, die vorgeben, von diesen Unternehmen zu stammen, zumal es weiß, dass dies das häufigste Schema ist, mit dem Cyberkriminelle Opfer zur Ausführung ihrer Malware locken. Hacker nutzen daher oftmals auch aktuelle Ereignisse, um bei den Empfängern ein Interesse zu wecken, schädliche Links und Anhänge zu öffnen. Beispiele für solche Ereignisse sind Weihnachten, Black Friday, Halloween, Valentinstag, oder die SARS-CoV-19-Pandemie. Häufig sind sich die Empfänger solcher Nachrichten auch dieser Schemata bewusst, vor allem wenn sie aus heiterem Himmel ohne jeglichen Kontext auftauchen.

Daher setzen immer mehr Angreifer eine Technik ein, die als E-Mail Conversation Thread Hijacking oder auch E-Mail Reply Chain Attack und E-Mail Thread Hijacking, bezeichnet wird. Bei dieser Technik nutzt ein Hacker bestehende E-Mail-Konversationen von Opfern, um sich auf neue Systeme zu verbreiten. Bisher nutzten die Angreifer nur die in den Adressbüchern ihrer Opfer aufgeführten E-Mail-Adressen. Beim E-Mail Conversation Thread Hijacking werden nun auch die bereits bestehenden E-Mail-Konversations-Threads des Opfers verwendet, um „authentischer“ zu wirken. Zu diesem Zweck antworten die Angreifer auf bestehende Unterhaltungen, die ihr Angriffsziel in der Mailbox noch gespeichert hat.

 

Wie funktioniert E-Mail Conversation Thread Hijacking?

Im ersten Schritt eines E-Mail-Thread-Hijacking-Angriffs wird das E-Mail Postfach eines Users kompromittiert. Als Nächstes werden dessen E-Mails und oft auch E-Mail-Anmeldedaten gestohlen. Die Cyberkriminellen antworten dann auf die eingegangenen E-Mails des Opfers mit ihren Malware-Nachrichten.

Die folgende Abbildung zeigt eine Beispiel-E-Mail eines E-Mail Conversation Threat Hijacking. Das Feld „From“ zeigt die E-Mail-Adresse des Opfers. Das „To“-Feld enthält die E-Mail-Adresse des Angegriffenen, mit dem das Opfer zuvor eine E-Mail-Konversation geführt hat. Das „Subject“-Feld zeigt den ursprünglichen Betreff der E-Mail-Konversation, dem jedoch ein „Re: “ vorangestellt ist. Das Zitat unter der Nachricht enthält die gesamte E-Mail-Konversation der beiden Parteien.

 

Beispiel für E-Mail Conversation Thread Hijacking

 

Manche Angreifer passen auch die Antwortsprache an die der missbrauchten E-Mail-Konversation an, z.B. wird im folgenden Beispiel eine deutschsprachige Antwort verwendet:

 

Beispiel für E-Mail Conversation Thread Hijacking

 

Während die meisten analysierten Schad-Mails schädliche Links enthalten, werden ab und an auch schädliche Anhänge versendet:

 

Beispiel für E-Mail Conversation Thread Hijacking

 

Wie effektiv ist E-Mail Conversation Thread Hijacking?

Um zu demonstrieren, wie effektiv E-Mail Conversation Thread Hijacking sein kann, haben wir einen echten E-Mail-Austausch nachgestellt, den wir bei einer routinemäßigen Überprüfung von False-Positive-E-Mails beobachten konnten:

Beispiel für E-Mail Conversation Thread Hijacking

 

In diesem Beispiel haben die Angreifer das E-Mail-Konto von Joe Schmoe kompromittiert und auf eine E-Mail geantwortet, die Joe zuvor von Alice erhalten hatte. Die Hacker antworteten mit einem schädlichen Link (OPEN THE DOCUMENT) und etwas generischem Text. Alice löste die E-Mail aus der Quarantäne aus und versuchte, den  Link zu öffnen, aber ihr Browser bewahrte sie davor, infiziert zu werden. Sie antwortete daraufhin an Joes kompromittiertes E-Mail-Konto, dass sie die Datei nicht öffnen könne, und fragte, ob die Datei in einem anderen Format gesendet werden könne. Die Angreifer sendeten daraufhin Alice dann einen weiteren schädlichen Link. Obwohl wir sicher sind, dass die zweite Antwort der Angreifer auf einen zuvor bereits gestohlenen und für Email Thread Hijacking missbrauchten Email-Verlauf ein Zufall war, zeigt dieses Beispiel deutlich, dass Cyberkriminelle mit solchen Angriffen „erfolgreich“ sein können.

Glücklicherweise schneidet (noch) kein Angreifer seine Antwort-E-Mails so zurecht, dass sie in die missbrauchte Konversation passen. Da Hacker das E-Mail Conversation Thread Hijacking jedoch weitgehend automatisiert haben, ist die Wahrscheinlichkeit, dass die missbrauchte Konversation Dokumente beinhaltet, die hin und her ausgetauscht werden, sehr hoch und dadurch eine eindeutige Hackermail schwerer zu erkennen ist. Doch wer würde nicht ein Dokument öffnen, das von einem bekannten Kontakt innerhalb einer bestehenden E-Mail-Konversation gesendet wurde?

 

Wer benutzt E-Mail Conversation Thread Hijacking?

Die Zahl der Hacker, die E-Mail Conversation Hijacking Angriffe verwenden, nimmt ständig zu. Während sie erstmals im Mai 2017 in einer begrenzten gezielten Spearphishing-Kampagne beobachtet wurde, übernahmen viele weitere Cyberkriminelle diese Technik im Jahr 2018.

In 2019 führte Emotet zum ersten mal auch E-Mail Conversation Thread Hijacking Angriffe aus. Die Emotet-Gruppe fügte der Malware ein neues Modul hinzu. Das Modul stiehlt E-Mails und Zugangsdaten von Opfern und sendet sie an die Server der Emotet Betreiber. Von dort aus werden sie an andere Opfer verteilt, die mit Emotets Spam-Modul infiziert wurden, von wo aus die gestohlenen E-Mails und Zugangsdaten dann für Angriffe gegen weitere Opfer verwendet werden. Kürzlich erweiterte Emotet seinen „E-Mail-Antwort-Missbrauch“, indem es auch Anhänge von der Opfer stahl und nun den schädlichen Anhang unter die gestohlenen „gutartigen“ Anhänge platziert, damit die E-Mail noch vertrauter erscheint.

Auch QakBot wird häufig über Antworten auf bestehende E-Mail-Konversationsstränge verbreitet. Im Jahr 2020 begann die Verbreitung der Valek-Malware über E-Mail-Thread-Hijacking.

Hornetsecurity beobachtete eine Zunahme an kompromittierten Konten, die zum Versenden schädlicher E-Mails verwendet werden. Während einige (noch) nicht auf E-Mail Conversation Thread Hijacking zurückgreifen und lediglich die E-Mail-Konten der Opfer zum Versenden von Schad-E-Mails missbrauchen, ist es mit Zugang zu den E-Mail-Konten der Opfer trivial, E-Mail Conversation Thread Hijacking durchzuführen. Ein Hacker muss einfach auf die vorhandenen E-Mails seiner bereits existierenden Opfer antworten. Wir sind daher sicher, dass der Trend zu E-Mail Thread Hijacking Angriffen anhalten wird. Benutzer können sich nicht auf einen bekannten vertrauenswürdigen Absender verlassen, wenn es darum geht, zu bestimmen, wann es sicher ist, Anhänge oder Links zu öffnen.

 

Schlussfolgerung und Gegenmaßnahme

Der Rat, nur E-Mail-Anhänge und Links von bekannten Absendern zu öffnen, ist veraltet. Mit E-Mail Conversation Thread Hijacking können sogar Akteure die massenhaft schadhafte E-Mails versenden, hoch entwickelte und effektive Spearphishing-E-Mails automatisieren. Oft sind sich die Opfer nicht bewusst, dass sie kompromittiert sind. In solchen Fällen ist es wichtig, die Opfer darüber zu informieren, dass sie bösartige Inhalte per E-Mail verbreiten, damit sie Maßnahmen gegen die Kompromittierung ergreifen können. Eie Maßnahme wäre die E-Mail-Anmeldedaten zu ändern. Im zweiten Schritt wäre festzustellen, wie die Angreifer überhaupt Zugang zum E-Mail-Konto erhalten haben, um solche Vorfälle in Zukunft zu verhindern.

Für Menschen ist es sehr schwierig, wenn nicht gar unmöglich, E-Mail Conversation Thread Hijacking zu erkennen, da die Schad-E-Mails von einem legitimen, aber kompromittierten Konto versendet werden und diese – abgesehen vom Schreibstil – von echten legitimen E-Mails nicht zu unterscheiden sind. E-Mail-Filter, die die Anhänge oder Links in E-Mails inspizieren, können schädliche Inhalte jedoch trotzdem erkennen.

Hornetsecurity’s Spam und Malware Protection, mit den höchsten Erkennungsraten auf dem Markt, erkennt und isoliert Bedrohungen unabhängig davon, ob sie E-Mail Conversation Thread Hijacking verwenden oder nicht. Auch Hornetsecurity’s Advanced Threat Protection ist von E-Mail Conversation Thread Hijacking nicht betroffen und überprüft E-Mail-Inhalte unabhängig davon, ob sie von einem kompromittierten Konto gesendet wurden oder nicht. Die Malware-, Phishing- und ATP-Filter von Hornetsecurity haben Vorrang vor Absender-Whitelists. Auf diese Weise sind die Kunden von Hornetsecurity selbst dann geschützt, wenn ein Absender auf der Whitelist kompromittiert wird und sein E-Mail-Konto zum Versand bösartiger E-Mails missbraucht wird.