Der IT-Dienstleister TALOS bietet eine sehr lesenswerte Analyse (lokale Kopie) einer konkreten Phishing-Kampagne, bei der infizierte Word-Dokumente bestimmte Dokumenten-Vorlagen nachzuladen versuchten (was überlicherweise automatisch durchgeführt wird), die von Angreifern im Vorfeld mit Schadcode versehen wurden. Die Angreifer verwendeten dabei ein Phishing-Tool namens phishery (Link auf die github-Seite / lokale Kopie) das öffentlich verfügbar ist. Die ausführliche Analyse der Attacken verdeutlicht das technische Niveau auf dem Phishing mittlerweile durchgeführt wird und die Bandbreite der möglichen und zu berücksichtigenden Anfgriffsvektoren:
Attackers are continually trying to find new ways to target users with malware sent via email. Talos has identified an email-based attack targeting the energy sector, including nuclear power, that puts a new spin on the classic word document attachment phish. Typically, malicious Word documents that are sent as attachments to phishing emails will themselves contain a script or macro that executes malicious code. In this case, there is no malicious code in the attachment itself. The attachment instead tries to download a template file over an SMB connection so that the user’s credentials can be silently harvested. In addition, this template file could also potentially be used to download other malicious payloads to the victim’s computer. (Q: talosintelligence.com)