Gezielte Cyberangriffe: Neue Spear-Phishing-Kampagne nimmt Finanzvorstände ins Visier

24. Juni 2025

Trellix warnt vor raffinierter Operation mit NetBird-Malware

Cyberkriminelle zielen erneut auf hochrangige Führungskräfte: Sicherheitsforscher von Trellix haben eine ausgeklügelte Spear-Phishing-Kampagne aufgedeckt, die sich gezielt gegen CFOs und Finanzentscheider in Branchen wie Banken, Versicherungen, Energieversorgung und Investment richtet. Betroffen sind Unternehmen in Europa, Afrika, Kanada, dem Nahen Osten und Südasien.

Die Angreifer geben sich in professionell gestalteten E-Mails als Personalvermittler von Rothschild & Co aus und locken ihre Opfer mit dem Versprechen auf eine vertrauliche Führungsposition. Die Kampagne nutzt eine Kombination aus Social Engineering, legitimen Fernzugriffstools und komplexen Downloadmechanismen, um einen dauerhaften Zugriff auf die Systeme der Betroffenen zu erlangen.

Täuschend echt: Die Angriffsstrategie

Im Zentrum der Attacke steht eine mehrstufige Angriffskette. Die Opfer erhalten eine vermeintlich seriöse E-Mail mit dem Betreff „Rothschild & Co leadership opportunity (Confidential)“. Die beigefügte „PDF-Datei“ führt in Wahrheit auf eine von Firebase gehostete Webseite, die hinter einem manipulierten CAPTCHA-Rätsel verborgen ist. Nach dessen Lösung wird eine ZIP-Datei heruntergeladen, die ein Visual-Basic-Skript (VBS) enthält. Dieses löst eine Kette weiterer Downloads aus.

Das zweite VBS-Skript installiert zwei legitime Tools – NetBird, eine auf WireGuard basierende Fernzugriffssoftware, sowie OpenSSH. Zusätzlich richten die Angreifer ein verstecktes Administratorenkonto ein, aktivieren Remote Desktop Protocol (RDP) und schaffen damit einen dauerhaften, verschlüsselten Zugang zum Netzwerk. Die gesamte Operation erfolgt dabei nahezu unbemerkt.

Spear-Phishing-Kampagne zur Installation von Netbird und Aktivierung des Fernzugriffs

Missbrauch legitimer Tools

Auffällig ist die bewusste Verwendung vertrauenswürdiger Software. „Die Kampagne zeigt deutlich, wie Angreifer zunehmend legitime Anwendungen für bösartige Zwecke zweckentfremden“, erklärt das Trellix Advanced Research Center. Der Einsatz von NetBird ermögliche den Tätern nicht nur den Fernzugriff, sondern verschleiere auch die Spuren der Kompromittierung.

Obwohl einige Elemente der Infrastruktur mit früheren staatlich gesteuerten Kampagnen übereinstimmen, konnte die aktuelle Angriffswelle bislang keiner bekannten Bedrohungsgruppe eindeutig zugeordnet werden.

Überblick über den Angriffsablauf:

1. Initiale Kontaktaufnahme per E-Mail: Eine gefälschte Nachricht eines angeblichen Rothschild & Co-Recruiters bewirbt eine hochkarätige Position und verweist auf eine scheinbare PDF-Datei.

2. Verdeckter Phishing-Link: Der Link führt zu einer Firebase-Seite mit mathematischem CAPTCHA. Die Entschlüsselung der tatsächlichen Download-URL erfolgt im Hintergrund.

3. ZIP-Datei mit VBS-Installer: Nach Lösen des CAPTCHAs lädt das Opfer eine ZIP-Datei herunter, die ein erstes VBS-Skript enthält. Dieses wiederum ruft ein zweites Skript von einem kompromittierten Server ab.

4. Installation von Malware: Das zweite Skript installiert NetBird und OpenSSH, richtet ein verstecktes Administratorkonto ein und konfiguriert RDP-Zugang.

5. Persistenz und Tarnung: Das Setup sorgt dafür, dass NetBird bei jedem Systemstart automatisch neu ausgeführt wird, ohne sichtbare Spuren auf dem Desktop zu hinterlassen.

Hinweise auf weitere Kampagnen

Trellix-Analysen legen nahe, dass dieselben oder ähnliche Skripte auch in anderen Phishing-Kampagnen verwendet wurden. So wurde eine ältere Version einer CAPTCHA-geschützten Seite entdeckt, die fast identischen Schadcode verbreitet. Auch die französische Finanzaufsicht AMF warnt vor Angriffen mit vergleichbarer Infrastruktur, wenn auch mit abweichender Taktik.

Fazit

Die neue Kampagne belegt einmal mehr die steigende Professionalität gezielter Cyberangriffe auf Führungskräfte. Unternehmen sollten ihre Sicherheitsvorkehrungen – insbesondere im Bereich E-Mail-Filter, Endpoint Detection und Awareness-Training – gezielt auf Bedrohungen durch legitime Tools und glaubwürdiges Social Engineering ausrichten.

---

Bild/Quelle: https://depositphotos.com/de/home.html