Gefälschte SSA-E-Mails verleiten Benutzer zur Installation von ScreenConnect RAT

Cyberkriminelle verwenden gefälschte E-Mails der Social Security Administration, um den ScreenConnect RAT (Remote Access Trojan) zu verbreiten und Benutzercomputer zu kompromittieren.

Cybersicherheitsexperten haben laufende Machenschaften aufgedeckt, bei denen Kriminelle die US-amerikanische Sozialversicherungsbehörde (SSA) ausnutzen, um Nutzer dazu zu bringen, einen gefährlichen Remote Access Trojaner (RAT) namens ScreenConnect auf ihren Computern zu installieren. Nach der Installation erhält der Angreifer die vollständige Fernsteuerung, kann persönliche Daten stehlen und weitere Schadsoftware installieren.

Forscher bei Malwarebytes entdeckten als Erste diese gefälschten E-Mails, die Nutzer darüber informieren, dass ihre Sozialversicherungsauskunft jetzt verfügbar sei, und sie auffordern, einen Anhang herunterzuladen oder auf einen Link zu klicken, um sie anzuzeigen. Diese E-Mails sehen sehr echt aus, sodass Nutzer sie nur schwer als Fälschung erkennen können.

Die Links oder Anhänge in diesen E-Mails führen zum Download einer Datei, die den ScreenConnect-Client installiert. Um den Nutzern Sicherheit zu suggerieren, erhalten diese Dateien manchmal irreführende Namen wie „ ReceiptApirl2025Pdfc.exe “ oder „ SSAstatment11April.exe “.

ScreenConnect selbst ist ein echtes Tool, das von Unternehmen für den IT-Support genutzt wird und es Technikern ermöglicht, Benutzern aus der Ferne zu helfen. In den Händen von Kriminellen wird es jedoch sehr gefährlich. Sobald sie über ScreenConnect die Kontrolle über einen Computer erlangen, können sie Dateien einsehen, Programme ausführen und sensible Daten wie Bankdaten und persönliche Identifikationsnummern stehlen. Die Kriminellen dahinter, auch als Molatori-Gruppe bekannt, wollen in erster Linie Finanzbetrug begehen.

Sicherheitsexperten von Cofense berichteten auch von ähnlichen Phishing-Kampagnen, bei denen die SSA imitiert wurde. Die E-Mails gaben oft vor, eine aktualisierte Leistungsübersicht zu liefern, verwendeten dabei aber nicht übereinstimmende Links oder versteckten bösartige Links hinter Schaltflächen.

„Während sich die genaue Struktur der E-Mail von Beispiel zu Beispiel ändert, liefert die Kampagne durchgängig einen eingebetteten Link zu einem ConnectWise RAT-Installationsprogramm“, stellten die Forscher von Cofense in ihrer Blitzwarnung fest.

Ihre Ergebnisse deuteten darauf hin, dass diese gefälschten E-Mails darauf abzielten, einen ConnectWise RAT zu installieren, eine verseuchte Version der legitimen Software ConnectWise Control (ehemals ScreenConnect). Diese Kampagne verzeichnete im Vorfeld der US-Präsidentschaftswahlen 2024 eine verstärkte Aktivität und erreichte Mitte November 2024 ihren Höhepunkt.

Was diese Angriffe so schwer zu erkennen macht, ist die Vorgehensweise der Kriminellen. Sie versenden Phishing-E- Mails oft von kompromittierten Websites und täuschen so den Anschein einer legitimen E-Mail-Adresse vor. Häufig betten sie den E-Mail-Inhalt als Bild ein, wodurch E-Mail-Filter schädliche Nachrichten nicht lesen und blockieren können. Da ScreenConnect zudem ein weit verbreitetes Programm ist, wird es von herkömmlicher Antivirensoftware möglicherweise nicht automatisch als Bedrohung erkannt.

Dies ist nicht das erste Mal, dass Kriminelle legitime Remote-Access-Tools missbrauchen. Wie Hackread.com bereits berichtete , wurden ähnliche Taktiken in gefälschten LinkedIn-E-Mails verwendet, um den ConnectWise RAT zu verbreiten.

Diese gefälschten Nachrichten imitierten echte InMail-Benachrichtigungen und verwendeten ältere Designs, um glaubwürdig zu wirken. Cyberkriminelle nutzen außerdem ausgeklügelte Phishing-E-Mails, die bekannte Marken imitieren, um Informationen zu stehlen.

Eine kürzlich durchgeführte Kampagne zielte beispielsweise auf die australische Fluggesellschaft Qantas ab. Sie verschickte gefälschte E-Mails, die wie echte Marketingbotschaften der Fluggesellschaft aussahen. Diese E-Mails, die Cofense Intelligence entdeckte, verleiteten Benutzer dazu, ihre Kreditkartendaten und persönlichen Informationen preiszugeben.