De afgelopen maand hebben onder­zoe­kers van Barra­cuda verschil­lende opmer­ke­lijke e‑maildreigingen geïden­ti­fi­ceerd gericht op organi­sa­ties van over de hele wereld. Het gaat onder andere om:

• Nieuwe tools en tactieken binnen de Tycoon 2FA-phishingkit
• Onzicht­bare tekens die de Cephas-kit helpen om detectie door bevei­li­gings­sys­temen te omzeilen
• Een geavan­ceerde aanval waarbij stega­no­grafie (malware die in afbeel­dingen wordt verborgen) wordt gebruikt 

Nieuwe technieken in de Tycoon-toolkit

Tycoon 2FA is een beruchte en succes­volle phishingkit die al sinds augustus 2023 actief is en nog steeds een ernstige dreiging vormt voor organi­sa­ties. De kit is ontworpen om inlog­ge­ge­vens te stelen van Micro­soft 365- en inmid­dels ook van Google Workspace-accounts, door medewer­kers te verleiden hun wacht­woorden en tweestaps­ve­ri­fi­ca­tie­codes prijs te geven.

Wat Tycoon bijzonder gevaar­lijk maakt, is de voort­du­rende ontwik­ke­ling van de toolkit. Elke nieuwe versie bevat subtiele maar slimme aanpas­singen die detectie door tradi­ti­o­nele bevei­li­gings­sys­temen bemoeilijken.

De onder­zoe­kers van Barra­cuda zagen onder andere de volgende recente aanpassingen:

• CAPTCHA challenges: Tycoon gebruikt nu verschil­lende soorten CAPTCHA-tests, zoals beeld­puz­zels of “pres and hold”-controles, om legitiem over te komen en geauto­ma­ti­seerde bevei­li­ging te vertragen.
• Realis­ti­schere URL’s: de nieuwste webadressen bootsen echte inlog­pro­cessen na, inclu­sief OAuth2-achtige links en unieke codes, waardoor ze moeilijker te onder­scheiden zijn van echte pagina’s.
• Gecom­pri­meerde code: phishing­sites maken gebruik van LZString-compressie om grote delen van de code te verbergen. De code wordt pas uitge­pakt en uitge­voerd in de browser van het slacht­offer, wat detectie verder bemoeilijkt.
• Dynami­sche uitvoe­ring: de verborgen code wordt pas volledig actief nadat de pagina is geladen, zodat de aanval onder de radar blijft.

Tips om je hiertegen te beschermen: gebruik gelaagde bevei­li­ging met anti-phishing­tools, adaptieve authen­ti­catie en continue monito­ring. Dit helpt bij het herkennen van inter­ceptie-aanvallen, zoals ‘adversary-in-the-middle’ (AiTM)-tactieken die door Tycoon worden ingezet.

Cephas-kit gebruikt onzichtbare tekens om detectie te ontwijken

De Cephas-phishingkit, voor het eerst gezien in augustus 2024, valt op door zijn broncode vol verwij­zingen naar astro­nomie en bijbelteksten.

Wat deze kit bijzonder maakt, is een unieke verhul­lings­tech­niek. Cephas verhult zijn code met wille­keu­rige, onzicht­bare tekens die anti-phishing scanners en YARA-regels in de war brengen, waardoor de code moeilijk te analy­seren en te herkennen is.

Tips om je hiertegen te beschermen: schakel multi­fac­to­r­au­then­ti­catie (MFA) in voor alle gebrui­kers, vooral bij cloud­ser­vices zoals Micro­soft 365. Gebruik waar mogelijk phishing­be­sten­dige methoden, zoals hardware security keys, in plaats van sms- of app-codes.

Verborgen malware in afbeeldingen om detectie te voorkomen

Stega­no­grafie is een geavan­ceerde aanvals­tech­niek waarbij schade­lijke data wordt verborgen in ogenschijn­lijk onschul­dige bestanden, zoals afbeel­dingen. In tegen­stel­ling tot versleu­te­ling, die de inhoud verbergt, verbergt stega­no­grafie het bestaan van de data zelf – wat detectie bijzonder lastig maakt.

Barracuda’s onder­zoe­kers hebben recent een phishing­cam­pagne ontdekt die deze methode gebruikt. De aanval begint met een e‑mail die lijkt op een legitiem zakelijk bericht, bijvoor­beeld een bestel­ling of prijs­aan­vraag. In werke­lijk­heid bevat de e‑mail een link naar een zogenaamd gedeeld bestand op een vertrouwd platform. Achter deze link schuilt echter een verhuld JavaScript-bestand dat, zodra het wordt geopend, verborgen code uitvoert.

Deze code start een PowerS­hell-commando dat een PNG-afbeel­ding downloadt van een legitieme website. In deze afbeel­ding zit de echte malware verborgen, gecodeerd op een manier die bevei­li­gings­soft­ware niet kan detecteren.

De malware blijft onzicht­baar door gebruik te maken van meerdere technieken:

• Verwar­rende bestands­namen en versleu­telde tekstfragmenten
• Achter­grond­pro­cessen zonder zicht­bare vensters
• Uitvoe­ring vanuit het werkge­heugen, zonder sporen op de schijf

Tips om je hiertegen te beschermen: wees alert op ongebrui­ke­lijk grote media­be­standen, dubbele inhoud, of onver­wacht uitgaand verkeer naar onbekende domeinen. Gebruik geavan­ceerde e‑mailbeveiliging op basis van multi-modale AI die niet alleen tekst, maar ook URL’s, documenten, afbeel­dingen en QR-codes analy­seert. Blokkeer standaard macro’s in documenten en beperk de toege­stane bestands­typen voor e‑mail en web-uploads.