legitiem, vertrouwd of volledig onzicht­baar te lijken. Uit recente incidenten die door Barra­cuda zijn geneu­tra­li­seerd, blijkt dat aanval­lers geraf­fi­neerde methoden gebruiken om tradi­ti­o­nele securi­ty­sys­temen te omzeilen. Bijvoor­beeld mislei­dende Micro­soft 365-logins, namaak-AI-software en malware die direct vanuit het clipboard opereert.

De belangrijkste dreigingen van dit moment

• Betrouw­baar ogende Micro­soft 365-logins: aanval­lers slagen er steeds vaker in om in te loggen op Micro­soft 365-accounts via IP-adressen die afkom­stig lijken van legitieme gebrui­kers. Door gebruik te maken van VPN’s of door snel van IP-adres te wisselen, vallen hun activi­teiten niet op tussen de dagelijkse logins van medewer­kers. In april registreerden onder­zoe­kers een stijging van ongeveer 25% in schade­lijke logins vanuit landen met een laag risico, zoals de VS en het VK. Omdat dit succes­volle aanmel­dingen zijn (en geen herhaalde mislukte pogingen), worden ze door tradi­ti­o­nele security-tools nauwe­lijks opgemerkt. Zodra aanval­lers binnen zijn, kunnen ze onopge­merkt e‑mails, bestanden en interne systemen buitmaken. 
  • Advies: monitor alle inlog­po­gingen, ongeacht of deze succesvol zijn of waar ze vandaag komen. Na login moet afwij­kend gedrag (zoals nieuwe devices of ongewone tijdstippen) direct gecheckt worden en overal moet multi-factor authen­ti­catie (MFA) afgedwongen worden.

• Namaak Claude AI-installer verspreidt malware: cyber­cri­mi­nelen spelen handig in op de enorme belang­stel­ling voor AI-tools. Barra­cuda signa­leerde een incident waarbij een gebruiker ‘Claude Code’ probeerde te downlo­aden, maar werd omgeleid naar een zeer overtui­gende namaak­web­site. In plaats van de software te downlo­aden, lanceerde de site een gelaagde malware-aanval. De malware voerde een PowerS­hell-script uit, stal inlog­ge­ge­vens die in de browser waren opgeslagen en instal­leerde malafide certi­fi­caten om verwij­de­ring moeilijker te maken. Hoewel de aanval binnen enkele seconden werd ingedamd, was dit toch lang genoeg voor de aanval­lers om creden­tials te stelen en persis­tentie te regelen.
• Advies: stel strikte policies in, zodat software alleen van officiële leverancierspagina’s gedown­load kan worden. Beperk de instal­la­tie­rechten op bedrijfs­de­vices en gebruik endpoint­se­cu­rity die kijkt naar gedrag in plaats van enkel naar bekende virus­de­fi­ni­ties (signa­tures).

• Malware omzeilt detectie via klembord-trucs: onder­zoe­kers hebben malware ontdekt die detectie omzeilt door schade­lijke code recht­streeks in clipboard te laden en via PowerS­hell in-memory uit te voeren. Omdat er geen tradi­ti­o­neel bestand op de harde schijf wordt opgeslagen, detec­teren basale antivi­rus­scan­ners deze malware niet. De malware maakte contact met een command-and-control-server, haalde de schade­lijke payload op, kopieerde deze naar het clipboard en voerde de code lokaal uit. Pas toen de server­ver­bin­ding een alert triggerde, kon Barra­cuda de dreiging indammen. 
  • Advies: monitor niet alleen bestanden, maar speci­fiek het gedrag van processen en PowerS­hell-activi­teit. Beperk PowerS­hell-rechten tot medewer­kers die dit echt nodig hebben en plaats devices automa­tisch in quaran­taine zodra er verdachte netwerk­ac­ti­vi­teit wordt gedetecteerd.

Belangrijkste bevindingen uit het SOC

Het Security Opera­tions Center (SOC)-team van Barra­cuda benadrukt dat cyber­cri­mi­nelen steeds onzicht­baarder te werk gaan. Waar aanvallen voorheen duide­lijke sporen achter­lieten, in de vorm van verdachte bestanden of mislukte inlog­po­gingen, verbergen aanval­lers zich nu tussen het reguliere netwerk­ver­keer. Daarnaast misbruiken ze de hype rond AI-tools. Snelheid en gedrags­ge­ba­seerde endpoint-detectie zijn essen­tieel om deze ‘onzicht­bare’ dreigingen tegen te houden voordat er schade ontstaat.

Meer infor­matie is te vinden op: https://​blog​.barra​cuda​.com/​2​0​2​6​/​0​5​/​2​7​/​s​o​c​-​t​h​r​e​a​t​-​r​a​d​a​r​-​m​a​y​-​2026.