Eine neue Phishing-Angriffskampagne, die auf Mac-Benutzer abzielt und von LayerX Labs identifiziert wurde, zeigt die Schwierigkeiten und Schwierigkeiten bei der Bekämpfung von Online-Phishing und wie sich Angriffe als Reaktion auf Anpassungen der Sicherheitstools verändern und verschieben.

LayerX beobachtete in den letzten Monaten eine ausgeklügelte Phishing-Kampagne, die sich zunächst an Windows-Nutzer richtete und als Microsoft-Sicherheitswarnungen getarnt war. Ziel der Kampagne war es, Benutzeranmeldeinformationen zu stehlen. Die Opfer wurden durch irreführende Taktiken vorgetäuscht, ihre Computer seien kompromittiert.

Mit der Einführung neuer Sicherheitsfunktionen von Microsoft, Chrome und Firefox haben die Angreifer ihren Fokus nun auf Mac-Benutzer verlagert.

Akt I: Windows-Benutzer im Visier

Beim ursprünglichen Phishing-Angriff wurden kompromittierte Websites mit gefälschten Sicherheitswarnungen angezeigt, in denen behauptet wurde, der Computer des Benutzers sei „kompromittiert“ und „gesperrt“. Die Angreifer forderten die Benutzer auf, ihren Windows-Benutzernamen und ihr Kennwort einzugeben. Gleichzeitig ließ Schadcode die Webseite einfrieren und erzeugte so den Eindruck, der gesamte Computer sei gesperrt.

 

LayerX hat zuvor über diese Kampagne geschrieben auf unserem Blog.

Warum diese Kampagne schwer zu stoppen war:

  1. Gehostet auf einer Microsoft-Plattform – Die Phishing-Seiten wurden auf Microsofts Windows.net-Plattform gehostet (einer offenen Plattform von Microsoft für das Hosting von Azure-Anwendungen). Im Kontext des Angriffs ließ dies die Nachrichten legitim erscheinen, da es sich (angeblich) um Sicherheitswarnungen von Microsoft handelte, die von einer Seite einer Windows[.]net-Domäne stammten.
  2. Ausnutzung von Hosting-Diensten Eine weitere gängige Taktik der Angreifer in diesem Fall bestand darin, einen vertrauenswürdigen Hosting-Dienst als zugrunde liegende Infrastruktur für schädliche Seiten zu nutzen. Der Grund dafür ist, dass herkömmliche Phishing-Schutzmaßnahmen wie Secure Web Gateways (SWGs) und E-Mail-Sicherheitslösungen das Seitenrisiko häufig anhand der Reputation der Top-Level-Domain (TLD) bewerten. In diesem Fall ist die TLD (windows[.]net) eine bekannte und häufig genutzte Plattform eines renommierten Anbieters (Microsoft) mit einem hohen TLD-Reputationswert. Dadurch konnten diese Seiten herkömmliche Schutzmechanismen umgehen.
  3. Zufällige, sich schnell ändernde Subdomänen Unter der allgemeinen Top-Level-Domain „windows[.]net“ verbreiteten Angreifer ihren Schadcode über zufällig ausgewählte, sich schnell verändernde Subdomains. Das bedeutete, dass eine als schädlich gekennzeichnete Seite, die in Feeds schädlicher Seiten auftauchte, schnell entfernt und durch eine andere URL mit „sauberem“ Ruf ersetzt wurde. Dank der stark zufälligen Subdomain-URLs konnten Angreifer dies immer wieder tun und gleichzeitig den Angriff aufrechterhalten.
  4. Hochentwickeltes Design – Im Gegensatz zu typischen Phishing-Seiten waren diese gut gestaltet, professionell und wurden häufig aktualisiert, um eine Erkennung durch Sicherheitstools zu vermeiden, die auf bekannten Phishing-Signaturen basieren.
  5. Anti-Bot- und CAPTCHA-Technologien – In einigen Varianten stellte LayerX fest, dass der Seitencode Anti-Bot- und CAPTCHA-Verifizierungen enthielt. Dies geschah, um automatisierte Webcrawler auf Phishing-Schutz aufmerksam zu machen und die Einstufung der Seite als bösartig zu verzögern.

Das Ergebnis war eine ausgeklügelte, hochwirksame und lang anhaltende Kampagne. LayerX verfolgte diese Kampagne seit über einem Jahr. Ende 2024 und Anfang 2025 beobachteten wir jedoch eine Zunahme der Intensität und des Volumens dieser Kampagne, was ihre Wirksamkeit unterstrich.

Dies wurde auch von Microsoft bemerkt, das im Februar 2025 eine neue „Anti-Scareware“-Funktion im Edge-Browser einführte, um diese Angriffe zu bekämpfen. Etwa zur gleichen Zeit wurden ähnliche Schutzmaßnahmen in Chrome und Firefox implementiert.

Akt II: Neue Schutzmaßnahmen machen die alte Kampagne nutzlos

Nach der Einführung dieser Browser-Schutzmaßnahmen beobachtete LayerX einen drastischen Rückgang der auf Windows ausgerichteten Angriffe um 90 %.

LayerX beobachtete weiterhin ähnliche bösartige Seiten. Das bedeutete, dass die Kampagneninfrastruktur weiterhin online war. Benutzer konnten sie jedoch nicht erreichen.
Wir führen diesen Rückgang auf die neuen „Anti-Scareware“-Funktionen von Microsoft (und anderen) zurück, die diese Angriffe blockierten.

Akt III: Die Kampagne richtet sich an Mac-Benutzer

Allerdings scheint LayerX nicht der einzige Anbieter zu sein, der einen Rückgang der Erfolgsquote seiner Angriffe beobachtet hat – auch die Hacker dahinter haben dies bemerkt.

Ihre Antwort: Sie haben die Kampagne so geändert, dass sie auf eine Gruppe ungeschützter Benutzer abzielt – in diesem Fall: Mac-Benutzer.

Innerhalb von zwei Wochen nach der Einführung der neuen Anti-Phishing-Schutzmaßnahmen durch Microsoft begann LayerX, Angriffe auf Mac-Benutzer zu beobachten, die – offenbar – nicht durch diese neuen Schutzmaßnahmen geschützt waren.

 

Zuvor hat LayerX keine Angriffe auf Macs beobachtet, sondern nur auf Windows-Benutzer.

Die neuen Phishing-Versuche waren optisch nahezu identisch mit den Angriffen auf Windows-Benutzer, abgesehen von einigen kritischen Änderungen:

  • Phishing-Seitenlayout und Nachrichten neu gestaltet um gegenüber Mac-Benutzern legitim zu erscheinen.
  • Codeanpassungen um durch die Nutzung von HTTP-Betriebssystem- und Benutzeragentenparametern gezielt macOS- und Safari-Benutzer anzusprechen.
  • Fortgesetzte Nutzung der Windows[.]net-Infrastrukturund die Illusion der Legitimität aufrechterhält.

Wie Opfer angelockt wurden

Die Untersuchung von LayerX ergab, dass die Opfer über kompromittierte Domain-Parking-Seiten auf die Phishing-Seiten umgeleitet wurden:

  1. Das Opfer hat versucht, auf eine legitime Website zuzugreifen.
  2. Ein Tippfehler in der URL führte sie zu einer kompromittierten Domain-Parking-Seite.
  3. Die Seite leitete sie schnell über mehrere Websites um, bevor sie auf der Seite des Phishing-Angriffs landeten.

In einem konkreten Fall war das Opfer ein macOS- und Safari-Nutzer, der für einen LayerX-Unternehmenskunden arbeitete. Obwohl das Unternehmen ein Secure Web Gateway (SWG) einsetzte, umging der Angriff dieses. Das KI-basierte Erkennungssystem von LayerX, das Webseiten anhand von über 250 Parametern auf Browserebene analysiert, identifizierte und blockierte die schädliche Seite jedoch, bevor Schaden angerichtet werden konnte.

Akt IV: Die Schlacht geht weiter

Die neuen, auf den Mac ausgerichteten Angriffe erforderten von den Hackern relativ geringe Änderungen an ihrer bestehenden Infrastruktur – hauptsächlich Textänderungen und einige Codeänderungen, um MacOS- und Safari-Benutzer anzugreifen.

Diese Angriffskampagne unterstreicht zwei kritische Punkte:

  1. Mac- und Safari-Benutzer sind jetzt Hauptziele – Zwar gab es schon früher Phishing-Kampagnen, die auf Mac-Benutzer abzielten, doch erreichten sie selten ein derartiges Niveau an Raffinesse.
  2. Cyberkriminelle sind sehr anpassungsfähig – Während sich die Sicherheitsmaßnahmen weiterentwickeln, ändern Angreifer weiterhin ihre Taktiken. Dies beweist, dass Unternehmen fortschrittliche, proaktive Sicherheitslösungen benötigen.

Aufgrund der Langlebigkeit, Komplexität und Raffinesse, die die Akteure hinter dieser Angriffskampagne bisher an den Tag gelegt haben, vermuten wir, dass es sich lediglich um eine erste Reaktion ihrerseits handelt, da sie ihre Angriffe an neue Abwehrmaßnahmen anpassen.

Wir gehen davon aus, dass wir in den kommenden Wochen oder Monaten eine erneute Welle von Angriffen auf der Grundlage dieser Infrastruktur erleben werden, da diese auf Schwachstellen in den neuen Abwehrmechanismen von Microsoft prüft.

Dies ist nur die jüngste Erinnerung daran, dass die Verhinderung von Phishing- und Webangriffen ein kontinuierlicher, nie endender Kampf ist.

Bis zum nächsten Kapitel …