Onderzoekers Check Point ontdekken grootschalige phishingcampagne met valse Gmail-accounts

De recent ontdekte campagne wordt gekenmerkt door spear-phishing e-mails verzonden vanaf Gmail-accounts, zogenaamd namens bekende bedrijven, met claims over vermeende auteursrechtenschendingen. Deze berichten, die lijken te komen van de juridische vertegenwoordigers van de nagebootste bedrijven, beschuldigen de ontvanger van onrechtmatig merkgebruik op hun sociale media en verzoeken om het verwijderen van specifieke afbeeldingen en video’s. De instructies voor verwijdering leiden de ontvanger echter naar een download, waarmee de infectie wordt geactiveerd en de nieuwste versie van de Rhadamanthys stealer wordt geïnstalleerd.

De campagne richt zich op meerdere continenten (waaronder de VS en Europa) en sectoren. Een alarmerend aspect is de enorme hoeveelheid geïmiteerde e-mails. Het onderzoek identificeerde honderden phishingpogingen gericht op verschillende organisaties, waarbij elke e-mail vanaf een ander adres naar een andere contactpersoon werd gestuurd. 

Bijna 70% van de geïmiteerde bedrijven bevond zich in de entertainment-, media-, technologie- en softwaresector.  Dit is mogelijk te wijten aan het feit dat deze sectoren veel online aanwezig zijn en eerder dergelijke verzoeken versturen dan andere sectoren. Deze sectoren met een hoog profiel communiceren ook vaak over auteursrechten, waardoor dergelijke phishingpogingen geloofwaardiger overkomen.

Hoewel Rhadamanthys eerder in verband werd gebracht met nationale dreigingsactoren, geeft de analyse aan dat de CopyRh(ight)adamantys-campagne waarschijnlijk wordt uitgevoerd door een cybercriminele groep die gericht is op het verdienen van geld en niet wordt gesteund door een staat.

“De voorbeelden van phishing zijn legio en door hybride werken kan er geen onderscheid meer gemaakt worden tussen bedrijven en consumenten: elke werknemer is consument en omgekeerd. De phishingcampagne die we nu ontdekt hebben, is nog maar eens de bevestiging dat we niet meer kunnen berusten in standaardbeveiliging. Hackers worden steeds gehaaider en kunnen met gemak de standaardbeveiliging van Google of Microsoft omzeilen", reageert Zahier Madhar, security engineer expert bij Check Point Software Technologies. “Nederlanders ontvangen gemiddeld 80 tot 120 e-mails per dag. Dit genereert dus ook 80 tot 120 kansen per dag per Nederlander, oftewel zo'n 2 miljard kansen per dag, om via e-mail slachtoffers te maken. Hoewel iedereen zich bewust is van de gevaren die phishing met zich meebrengt, zien we dat concrete actie nog al te vaak uitblijft. We moeten stilstaan bij de kosten van niets doen en kunnen het ons niet langer permitteren om te vertrouwen op de standaardopties, want het is wel duidelijk dat de gevolgen van een phishingaanval vele malen groter zijn dan nu investeren in een degelijke e-mailbeveiliging.”

Gebruik van AI

Volgens de auteur van de stealer bevat de nieuwe versie geavanceerde functies, waaronder AI-engines. Na onderzoek stelde Check Point Research echter vast dat de malware geen moderne AI-engines gebruikt, maar veel oudere klassieke machine learning, typisch voor OCR-software (optische tekenherkenning).

Interessant is dat de aanvallers waarschijnlijk geautomatiseerde tools gebruiken, mogelijk met AI-uitbreidingen, om de phishing-inhoud en de vele benodigde Gmail-accounts te genereren. Hoewel de meeste communicatie in de lokale taal van de ontvanger of in het Engels is, komen onnauwkeurigheden voor: een e-mail gericht aan een Israëlisch doelwit was per ongeluk in het Koreaans geschreven in plaats van in het Hebreeuws, waarbij alleen de naam van het slachtoffer correct was gelokaliseerd.

Voorbeeld van de recent ontdekte phishingcampagne: 

Op hetzelfde moment dat Check Point Research de phishing-campagne ontdekte, ontving Check Point zelf meldingen van kwaadwillenden die e-mails van Check Point imiteerden, wat duidt op verdere inzet van Rhadamanthys.