Die Threat-Intelligence-Analysten von F6 beobachten seit Mai/Juni 2025 eine fortlaufende, zielgerichtete Phishingkampagne der Gruppe ComicForm. Die Akteure kombinieren kompromittiert wirkende Absender, täuschend echte Login-Seiten und den bekannten Stealer FormBook. Eine kuriose Signatur: in Schadcode versteckte Verweise auf animierte Superhelden-GIFs, die jedoch keinen funktionalen Anteil an der Infektion haben.
Ziele, Regionen und Taktiken der ComicForm-Kampagne
Im Fokus stehen Unternehmen aus Finanzwesen, Tourismus, Biotechnologie, Forschung und Handel in Russland, Belarus und Kasachstan. Für den Versand nutzen die Angreifer Domains mit den TLDs .ru, .by und .kz; einzelne Absenderkonten waren offenbar kompromittiert. Ein wiederkehrender Indikator ist ein Reply-To-Header im Format rivet_kz@… von einem kostenlosen russischen Maildienst. Vereinzelte englischsprachige Nachrichten deuten auf eine mögliche Ausweitung jenseits der GUS hin.
Phishing-Köder und Dateianhänge: Business-Kontext als Hebel
Betreffzeilen imitieren übliche Geschäftskorrespondenz, etwa „RE: Akt der Abstimmung“, „Vertrag und Rechnung.pdf“, „Warten auf signiertes Dokument“ oder „Passwort bestätigen“. Häufig enthalten RAR-Archive getarnte ausführbare Dateien, z. B. „… pdf 010.exe“. Der Start des getarnten EXE löst die Infektionskette aus.
Technische Analyse: .NET-Loader bis zur FormBook-Nutzlast
Der primäre Dropper ist ein obfuskierter .NET-Loader. Er entpackt zur Laufzeit ein Modul der zweiten Stufe (MechMatrix Pro.dll), das aus Ressourcen des ursprünglichen EXE Material entschlüsselt und ein drittes Modul (Montero.dll) rein im Speicher ausführt. Dieses agiert als Dropper für die eigentliche Nutzlast FormBook, kann Persistenzmechanismen setzen und die C2-Kommunikation initialisieren.
Ungewöhnliches Merkmal: versteckte Superhelden-GIFs
Im Code der Anhänge finden sich URLs zu animierten GIFs mit Superheldenmotiven (etwa Batman). Nach Analyse sind diese nicht in die Ausführungslogik eingebunden und wirken wie „optisches Rauschen“ oder informelle Kennzeichnung der Kampagne.
Zweiter Angriffsvektor: gefälschte Dokumentenspeicher-Seiten
Neben Malware-Anhängen setzt ComicForm auf Links zu Phishing-Sites, die Filesharing- bzw. Dokumentenspeicher-Portale nachahmen. Eingegebene Zugangsdaten werden an die Operatoren exfiltriert. Diese Dual-Use-Strategie – Stealer plus Credential-Phishing – erhöht die Wahrscheinlichkeit eines Erstzugriffs auf Unternehmensressourcen deutlich.
Aktivitätsstand und Ausbau der Infrastruktur
F6 meldet für Juni Spuren eines Angriffs auf ein nicht näher benanntes Telekommunikationsunternehmen in Kasachstan. Anfang September wurde eine Ausweitung der Infrastruktur beobachtet. „ComicForm agiert mindestens seit April 2025 und ist weiterhin aktiv; Anfang September haben wir ein Infrastrukturwachstum festgestellt.“, so Vladislav Kugan, Analyst im Threat-Intelligence-Team von F6.
Warum diese Methode weiterhin funktioniert
FormBook ist ein etablierter Stealer, der Passwörter, Cookies, Autofill-Daten und Clipboard-Inhalte abgreift und in Untergrundforen leicht beschafft werden kann. Der Verizon DBIR 2024 bestätigt, dass der „menschliche Faktor“ bei der Mehrzahl der Vorfälle eine Schlüsselrolle spielt; Phishing und der Missbrauch gestohlener Zugangsdaten zählen zu den häufigsten Eintrittsvektoren. Business-nahe Betreffzeilen, Archivanhänge und doppelte Dateiendungen senken die Wachsamkeit und umgehen einfache Filtermechanismen.
Erkennung und Abwehr: priorisierte Maßnahmen
Technische Kontrollen:
- Blockieren von EXE-Ausführung aus Archivanhängen (RAR/ZIP) und von Dateien mit doppelter Endung (z. B. .pdf.exe).
- EDR/NGAV mit In-Memory-Erkennung (.NET Reflection, RunPE, verschlüsselte Ressourcen) und Sandboxing für Anhänge.
- URL-Filter, Rewriting und sichere Browser-Isolation für externe Links.
- Strikte E-Mail-Authentifizierung (SPF, DKIM, DMARC mit reject/quarantine) und Prüfung von Reply-To-Abweichungen.
- Verbindliche MFA, Least Privilege und Monitoring auffälliger Logins inkl. Geo-/Zeit-Anomalien.
Prozesse und Awareness:
- Regelmäßiges Phishing-Training mit Fokus auf „geschäftliche“ Köder und den sicheren Umgang mit Archiven.
- Kontinuierliches SIEM/MAILD-Log-Monitoring auf ComicForm-Indikatoren (TLD .ru/.by/.kz, Betreffmuster, Reply-To „rivet_kz“).
- Übungen und Playbooks für Stealer-Vorfälle einschließlich schneller Credential-Rotation und Session-Invalidierung.
Organisationen in Russland, Belarus und Kasachstan sollten Mail-Gateways, Anhangsprüfung und EDR-Regeln kurzfristig nachschärfen und verdächtige Kampagnen frühzeitig isolieren. Je schneller Phishing-Wellen erkannt, Eingangskanäle blockiert und kompromittierte Zugänge entwertet werden, desto geringer ist das Risiko tieferer Eindringaktivitäten und Folgeschäden.