Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

In de eerste twee maanden van 2025 hebben de detectiesystemen van Barracuda meer dan een miljoen phishingaanvallen door prominente Phishing-as-a-Service (PhaaS) platforms geblokkeerd. Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.

 Bij de meeste (89%) van de gedetecteerde incidenten was het geavanceerde Tycoon 2FA-platform betrokken, gevolgd door EvilProxy, dat goed was voor 8% van de aanvallen. Een nieuwkomer, Sneaky 2FA, zat achter 3% van de incidenten. Deze drie platforms hebben verschillende toolsets, met enkele gemeenschappelijke elementen zoals het gebruik van de chatdienst Telegram. 

Tycoon 2FA - snelle innovatie om detectie te ontwijken

Onderzoekers van Barracuda rapporteerden in januari 2025 al over Tycoon 2FA. Sindsdien is het platform zich blijven ontwikkelen en de ontwijkende tactieken blijven verbeteren, waardoor detectie nog moeilijker is geworden. Naast andere upgrades is het script voor het stelen en wegsluizen van logingegevens nu versleuteld en vermomd met behulp van een substitutiesleutel en soms een onzichtbaar teken (bekend als een ‘Hangul Filler’).

 Het nieuwe en verbeterde script kan identificeren welke browser een slachtoffer gebruikt, om de aanval aan te passen. Ook bevat het koppelingen naar Telegram, die gebruikt kunnen worden om gestolen gegevens naar aanvallers te sturen. Het script maakt het ook mogelijk om delen van een webpagina onafhankelijk van de rest van de pagina bij te werken, terwijl AES-encryptie de buitgemaakt logingegevens versleutelt voordat ze worden weggesluisd naar een externe server. Dit alles maakt detectie door securityprogramma's veel lastiger. 

EvilProxy: een gevaarlijke en makkelijk toegankelijke tool

EvilProxy-aanvallen kunnen worden uitgevoerd met minimale technische kennis. Het is gericht op populaire diensten zoals Microsoft 365, Google en andere cloud platforms, waarbij slachtoffers worden misleid om hun gegevens in te voeren op schijnbaar legitieme inlogpagina's. De broncode die EvilProxy gebruikt voor zijn phishing webpagina komt sterk overeen met die van de originele Microsoft inlogpagina. Dit maakt het moeilijk om de schadelijke site te onderscheiden van de originele, legitieme website.  

Sneaky 2FA vult phishingformulier in voor slachtoffers

De op twee na meest prominente PhaaS in het begin van 2025 was Sneaky 2FA, een platform voor ‘adversary-in-the-middle’ (AiTM) aanvallen dat zich richt op Microsoft 365 accounts en op zoek is naar logingegevens. Net als Tycoon 2FA maakt het gebruik van Telegram. 

Om er zeker van te zijn dat de gebruiker een legitiem doelwit is en geen securitytool, bot of andere tegenstander, checkt Sneaky 2FA dit. Mocht dit wel zo zijn, dat wordt het ‘slachtoffer’ omgeleid naar een onschadelijke site elders - voordat het e-mailadres van het slachtoffer door 2FA wordt ingevuld op de vervalste phishingpagina. Dit gebeurt door misbruik te maken van de ‘autograb’-functionaliteit van Microsoft 365. 

"De phishing-as-a-service platforms worden steeds complexer en slagen er steeds beter in om detectie te ontwijken, waardoor phishing-aanvallen niet alleen moeilijker te detecteren zijn voor traditionele securitytools, maar ook meer schade kunnen aanrichten”, zegt Saravanan Mohankumar van Barracuda. “Een geavanceerde, meerlaagse verdedigingsstrategie met AI/ML-detectie, gecombineerd met een sterke securitycultuur en een consistent beleid voor toegang en authenticatie, helpt om organisaties en medewerkers te beschermen tegen PhaaS-aanvallen.” 

Lees de blog voor meer informatie:  https://blog.barracuda.com/2025/03/19/threat-spotlight-phishing-as-a-service-fast-evolving-threat