top of page
Suche

Phishing-Kampagne nutzt gefälschte Party-Einladungen zur Verbreitung von Fernzugriffswerkzeugen!

  • Markus Haas
  • 2. Dez. 2025
  • 2 Min. Lesezeit

Eine gross angelegte Phishing-Kampagne nutzt laut Forschern von Symantec gefälschte saisonale Party-Einladungen, um Nutzer dazu zu verleiten, Remote-Management- und Monitoring-Tools (RMM) zu installieren.


„Ein äusserst aktiver Bedrohungsakteur, der sich auf den Einsatz der ScreenConnect-Software für Fernverwaltung und -überwachung spezialisiert hat, hat seine Taktik geändert und infiziert seine Opfer nun mit mehreren RMM-Tools, darunter LogMeIn Resolve und Naverisk“, berichtet Symantec.


„In vielen Fällen installieren die Angreifer lange nach dem ersten Eindringen zusätzliche RMM-Tools auf den kompromittierten Rechnern. Die Motivation hinter dieser neuen Taktik bleibt unklar, aber es scheint, als wollten die Angreifer ihre Verweildauer im Netzwerk erhöhen, um den Ertrag aus erfolgreichen Angriffen zu maximieren.“


Die Angreifer haben kürzlich begonnen, Lockmittel mit Party-Thematik zu verwenden – vermutlich, um Nutzer während der Feiertage gezielt anzusprechen.


„Die Angriffe folgen einem konsistenten Muster und beginnen mit Phishing-E-Mails, die unterschiedliche Lockmittel einsetzen“, schreiben die Forscher. „Zuletzt tarnten sich E-Mails als Einladungen zu Feiertagspartys, etwa ‚Party Invitation‘ oder ‚December Holiday Party‘. Weitere E-Mail-Köder gaben sich als Rechnungen, Steuerkorrespondenz, Mahnungen, Zoom-Meeting-Einladungen oder zu unterzeichnende Dokumente aus.“


Bemerkenswert ist, dass die Angreifer die eingesetzten Fernzugriffswerkzeuge auf den infizierten Systemen regelmässig austauschen, möglicherweise um eine Entdeckung zu erschweren und die Persistenz aufrechtzuerhalten.


„Seit Oktober scheinen die Angreifer vor allem LogMeIn Resolve (früher GoTo Resolve) und ein weiteres RMM-Paket, Naverisk, zusammen mit ScreenConnect zu verwenden. Interessanterweise werden die RMM-Tools in der Regel nicht gleichzeitig installiert. Stattdessen dient ein Tool dazu, ein weiteres zu installieren, oft mit zeitlichem Abstand zwischen den Installationen.“


Was das Ziel dieser Angriffe ist, bleibt unklar; Symantec vermutet jedoch, dass es sich bei den Hackern um sogenannte Initial Access Broker handelt, die den Zugang an andere Kriminelle wie Ransomware-Gruppen verkaufen.


Das CSF Computer Solutions Facility AG Sicherheitsteam

Aktuelle Beiträge

Alle ansehen
Öffentliches Hacking

Wie oft sehen Sie Aushänge, auf denen WLAN-Zugang und Ladestationen für Ihre Mobilgeräte kostenlos angeboten werden? Diese Annehmlichkeiten stehen Ihnen in vielen öffentlichen Einrichtungen wie Cafés

 
 
 
Diese LinkedIn-Warnung ist eine Phishing-Falle

Im Betrug dieser Woche postest du auf LinkedIn und erhältst anschliessend eine Antwort, die scheinbar offiziell von der LinkedIn‑Website stammt. Die Antwort erscheint als Kommentar zu deinem Beitrag u

 
 
 
Phishing-as-a-Service-Kits machen Angriffe einfacher

Phishing-as-a-Service-Kits werden immer ausgeklügelter und ermöglichen es weniger erfahrenen Kriminellen, umfangreiche Phishing-Kampagnen durchzuführen, berichtet Barracuda Networks. Zu den Methoden d

 
 
 

Kommentare

Verpassen Sie keine Beiträge

Wenn Sie keine CSF Blog-Beiträge verpassen wollen, tragen Sie sich hier ein. Wir freuen uns!

Danke für Ihre Anmeldung.

© by CSF

bottom of page