Een miljoen Phishing-as-a-Service-aanvallen in twee maanden

Bij de meeste (89%) van de gedetecteerde incidenten was het geavanceerde Tycoon 2FA-platform betrokken, gevolgd door EvilProxy, dat goed was voor 8% van de aanvallen. Een nieuwkomer, Sneaky 2FA, zat achter 3% van de incidenten. Deze drie platforms hebben verschillende toolsets, met enkele gemeenschappelijke elementen zoals het gebruik van de chatdienst Telegram.

Tycoon 2FA - snelle innovatie om detectie te ontwijken

Onderzoekers van Barracuda rapporteerden in januari 2025 al over Tycoon 2FA. Sindsdien is het platform zich blijven ontwikkelen en de ontwijkende tactieken blijven verbeteren, waardoor detectie nog moeilijker is geworden. Naast andere upgrades is het script voor het stelen en wegsluizen van logingegevens nu versleuteld en vermomd met behulp van een substitutiesleutel en soms een onzichtbaar teken (bekend als een ‘Hangul Filler’).

Het nieuwe en verbeterde script kan identificeren welke browser een slachtoffer gebruikt, om de aanval aan te passen. Ook bevat het koppelingen naar Telegram, die gebruikt kunnen worden om gestolen gegevens naar aanvallers te sturen. Het script maakt het ook mogelijk om delen van een webpagina onafhankelijk van de rest van de pagina bij te werken, terwijl AES-encryptie de buitgemaakt logingegevens versleutelt voordat ze worden weggesluisd naar een externe server. Dit alles maakt detectie door securityprogramma's veel lastiger.

EvilProxy: een gevaarlijke en makkelijk toegankelijke tool

EvilProxy-aanvallen kunnen worden uitgevoerd met minimale technische kennis. Het is gericht op populaire diensten zoals Microsoft 365, Google en andere cloud platforms, waarbij slachtoffers worden misleid om hun gegevens in te voeren op schijnbaar legitieme inlogpagina's. De broncode die EvilProxy gebruikt voor zijn phishing webpagina komt sterk overeen met die van de originele Microsoft inlogpagina. Dit maakt het moeilijk om de schadelijke site te onderscheiden van de originele, legitieme website.

Sneaky 2FA vult phishingformulier in voor slachtoffers

De op twee na meest prominente PhaaS in het begin van 2025 was Sneaky 2FA, een platform voor ‘adversary-in-the-middle’ (AiTM) aanvallen dat zich richt op Microsoft 365 accounts en op zoek is naar logingegevens. Net als Tycoon 2FA maakt het gebruik van Telegram.

Om er zeker van te zijn dat de gebruiker een legitiem doelwit is en geen securitytool, bot of andere tegenstander, checkt Sneaky 2FA dit. Mocht dit wel zo zijn, dat wordt het ‘slachtoffer’ omgeleid naar een onschadelijke site elders - voordat het e-mailadres van het slachtoffer door 2FA wordt ingevuld op de vervalste phishingpagina. Dit gebeurt door misbruik te maken van de ‘autograb’-functionaliteit van Microsoft 365.

"De phishing-as-a-service platforms worden steeds complexer en slagen er steeds beter in om detectie te ontwijken, waardoor phishing-aanvallen niet alleen moeilijker te detecteren zijn voor traditionele securitytools, maar ook meer schade kunnen aanrichten”, zegt Saravanan Mohankumar van Barracuda. “Een geavanceerde, meerlaagse verdedigingsstrategie met AI/ML-detectie, gecombineerd met een sterke securitycultuur en een consistent beleid voor toegang en authenticatie, helpt om organisaties en medewerkers te beschermen tegen PhaaS-aanvallen.”

Lees de blog voor meer informatie: https://blog.barracuda.com/2025/03/19/threat-spotlight-phishing-as-a-service-fast-evolving-threat