Ein neues Phishing-Kit namens Spiderman erleichtert es Angreifern, ein umfangreiches Netz von Angriffen zu spinnen, die auf Kunden von Dutzenden europäischer Banken und Online-Finanzdienstleister abzielen.
Dieses Kit zeichnet sich durch seine professionelle Struktur und seinen breiten Zielbereich aus, der mehrere Länder und sogar Kryptowährungsplattformen umfasst. Die organisierte Oberfläche bietet Cyberkriminellen eine All-in-One-Plattform, um Phishing-Kampagnen zu starten, Anmeldeinformationen zu erfassen und gestohlene Sitzungsdaten in Echtzeit zu verwalten.
Dieses Maß an Automatisierung bedeutet, dass Angreifer keine Webentwicklungs- oder Phishing-Expertise mehr benötigen. Das ist Teil eines alarmierenden Trends, den wir weiterhin beobachten, da funktionsreiche Tools (SpamGPT, MatrixPDF, Atroposia) groß angelegte Angriffe einfacher machen als je zuvor. In der Praxis reduziert es das Phishing europäischer Banken auf wenige Klicks: Man wählt eine Bank aus, startet einen pixelgenauen Klon und versendet eine vorgefertigte Köder-E-Mail, die aussieht, als käme sie vom echten Institut.
Spiderman ist ein Full-Stack-Phishing-Framework, das Dutzende europäischer Bank-Login-Seiten und sogar einige Regierungsportale nachbildet. Während Phishing-Kits für einzelne Banken weit verbreitet sind, fasst Spiderman mehrere europäische Finanzmarken in einem Kit zusammen, um länderübergreifende Angriffe in großem Umfang zu ermöglichen. Es umfasst Module für Banken wie Deutsche Bank, Commerzbank, ING (Deutschland & Belgien), CaixaBank und mehrere Anbieter von Krypto-Wallets.
Zusammengenommen deutet diese Breite auf ein Framework hin, das bereits in großem Umfang verwendet wird. Eine Signal-Messenger-Gruppe, die mit dem Verkäufer hinter Spiderman in Verbindung steht, umfasst etwa 750 Mitglieder, was auf eine große, aktive Nutzergemeinschaft und eine anhaltende Verbreitung des Bausatzes schließen lässt.
Spiderman ist nicht das erste europäische Banken-Phishing-Kit, aber sein Umfang, seine Raffinesse und seine grenzüberschreitende Reichweite machen es zu einem der gefährlichsten, die wir in diesem Jahr analysiert haben, das auf die Finanzbranche abzielt.
Die meisten Phishing-Kits konzentrieren sich auf eine einzelne Bank oder Region. Spiderman vereint Dutzende Institutionen in fünf Ländern. Dies erhöht die Effizienz und ermöglicht es Angreifern, schnell zwischen Regionen zu wechseln.
Durch ISP-Whitelisting, Geoblocking und Gerätefilterung wird die Sichtbarkeit für Cyber-Security-Experten durch Spiderman drastisch reduziert. Viele Phishing-Erkennungsprodukte sind so konzipiert, dass sie die Infrastruktur scannen, die dieses Kit explizit herausfiltert.
Module zur Erfassung von Krypto-Seedphrasen („Ledger Seedphrase“, „Metamask Seedphrase“, „Exodus Seedphrase“) signalisieren eine Verlagerung hin zu hybriden Bank- und Krypto-Betrugsoperationen.
Die Einbeziehung von Phototan und OTP-Capture deutet auf ein hohes Maß an allgemeiner Raffinesse hin. Europäische Banken, die sich auf die TAN-Authentifizierung verlassen, sind besonders gefährdet.
Da Spiderman modular ist, können neue Banken, Portale und Authentifizierungsmethoden hinzugefügt werden. Mit der Einführung aktualisierter E-Banking-Prozesse in europäischen Ländern wird sich dieses Kit voraussichtlich parallel weiterentwickeln.
Angreifer, die Spiderman verwenden, wählen die Bank oder den Dienst aus, den sie imitieren möchten, klicken auf „Diese Bank indexieren“, und das Kit erstellt automatisch eine Phishing-Seitenkopie mit Anmeldeinformationen, Passwortabfragen, PhotoTAN/2FA-Aufforderungen und Kreditkarteneingabeformularen.
Das Bediener-Dashboard zeigt Opfersitzungen in Echtzeit an und verfolgt den Status jedes Ziels, die gewählte Bank, Benutzereingaben und Maschinendetails. Die Schnittstelle unterstützt mehrere Funktionen zur Optimierung von Angriffen, einschließlich:
Die Benutzeroberfläche zeigt, dass der Operator, sobald ein Opfer seine ersten Anmeldedaten eingegeben hat, zusätzliche Aufforderungen auslösen kann, z. B. nach einer Kreditkartennummer, einem Ablaufdatum, einer Telefonnummer oder einem PhotoTAN-Code.
Dieser flexible, mehrstufige Ansatz ist besonders effektiv bei europäischem Bankbetrug, wo allein Zugangsdaten oft nicht ausreichen, um Transaktionen zu autorisieren. Nach der Erfassung der Anmeldedaten protokolliert Spiderman jede Sitzung mit einer eindeutigen Kennung, damit der Angreifer die Kontinuität des gesamten Phishing-Workflows aufrechterhalten kann.
Spiderman verfügt über ein ungewöhnlich detailliertes Zugriffskontrollmodul, mit dem Angreifer einschränken können, wer die Phishing-Seite laden darf. Das Modul ist so konzipiert, dass es die exposure minimiert, Sicherheitsforscher blockiert und sicherstellt, dass nur legitime Ziele die schädliche Website erreichen. Wichtige Funktionen sind:
Diese Anti-Analyse-Kontrollen ermöglichen es dem Kit, automatisierte Crawler, Sicherheitsscanner und Tools zur Bedrohungsanalyse zu umgehen, was die Erkennung insgesamt erschwert.
Sobald ein Opfer seinen Bankbenutzernamen und sein Kennwort eingegeben hat, sendet das Kit diese Daten sofort an das Bedienerpanel. Die Operatoren können dann in Echtzeit weitere Anfragen auslösen.
Das folgende Beispiel zeigt, wie das Kit ein vollständiges Identitätspaket aus einer einzelnen Opfersitzung erfasst, einschließlich:
Dies sind mehr als ausreichende Informationen für Kontoübernahmen, SIM-Swap-Angriffe, Kreditkartenbetrug und Identitätsdiebstahl. Betreiber können Sitzungen auch als „Abgeschlossen“ markieren, sobald der Workflow beendet ist, um gestohlene Daten für spätere Ausbeutung organisiert zu halten.
Varonis Interceptor ist darauf ausgelegt, Phishing-Kits wie Spiderman zu erkennen und zu stören, bevor sie Ihre Mitarbeiter täuschen. Als KI-basierte E-Mail-Sicherheitslösung eignet sich Interceptor hervorragend zum Aufspüren von Phishing-E-Mails, die von herkömmlichen Filtern möglicherweise übersehen werden.
Interceptor analysiert Nachrichten auf mehreren Ebenen und untersucht Sprache, Tonfall, Logos und sogar die URLs, die sich hinter „Hier klicken“-Links verstecken, um subtile Anzeichen von Betrug zu erkennen. Phishing-Köder, die sich als Bankportale oder dringende Überweisungsanfragen ausgeben, werden markiert und unter Quarantäne gestellt, damit sie nicht in den Posteingang gelangen.
Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.