Microsoft 365-gebruikers doelwit van nieuwe phishing-as-a-service-kit
Een nieuwe opkomende phishing-as-a-service (PhaaS)-kit is ontdekt die inloggegevens en authenticatietokens van Microsoft 365-gebruikers steelt. De kit, door onderzoekers van beveiligingsbedrijf Barracuda Whisper 2FA genoemd, wordt sinds juli 2025 gevolgd en voerde in de afgelopen maand bijna een miljoen aanvallen uit binnen meerdere phishingcampagnes. Hiermee behoort Whisper 2FA tot de meest actieve PhaaS-kits, na Tycoon en EvilProxy.
Uit technische analyses van Barracuda blijkt dat Whisper 2FA zich onderscheidt door zijn aanpassingsvermogen en geavanceerde methoden. De kit maakt gebruik van herhaalde aanvallen om authenticatietokens te bemachtigen, zelfs als eerdere pogingen mislukken. Daarnaast past het zich aan verschillende multifactorauthenticatie (MFA)-methoden aan en gebruikt het meerdere lagen van verhulling om detectie en analyse te bemoeilijken.
Geavanceerde technieken
De phishingkit hanteert een continue lus om inloggegevens te stelen. Zelfs als een MFA-token vervalt of onjuist is, blijft de kit het slachtoffer vragen om gegevens opnieuw in te voeren, totdat een geldige code is verkregen. Daarnaast bevat de kit complexe technieken om beveiligingstools te omzeilen, zoals het versleutelen van schadelijke code en het uitschakelen van inspectiefuncties. Ook worden alle ingevoerde gegevens – ongeacht welke knop het slachtoffer gebruikt – direct versleuteld doorgestuurd naar aanvallers, wat detectie bemoeilijkt.
De ontwikkelaars van Whisper 2FA werken de kit voortdurend bij. Waar eerdere versies nog commentaar en basale verhullingstechnieken bevatten, zijn recentere varianten complexer. Nieuwe methoden blokkeren debugtools, schakelen toetsenbordcombinaties uit en laten analysetools crashen. Bovendien kunnen authenticatietokens nu in realtime worden geverifieerd via het commandosysteem van de aanvallers.
Overeenkomsten met Salty 2FA
Barracuda ziet overeenkomsten tussen Whisper 2FA en Salty 2FA, een andere PhaaS-kit die zich richt op Microsoft 365. Beide kits gebruiken vergelijkbare technieken om inloggegevens te stelen, maar Whisper 2FA onderscheidt zich door zijn vereenvoudigde en moeilijker traceerbare aanpak. In tegenstelling tot oudere kits zoals EvilProxy, die vaak complexere structuren hanteren, focust Whisper 2FA op efficiëntie en vermijding van detectie.
De snelle ontwikkeling van Whisper 2FA vormt een groeiend risico voor organisaties die Microsoft 365 gebruiken. Beveiligingsexperts benadrukken het belang van waakzaamheid en geavanceerde detectiemethoden om dergelijke aanvallen te voorkomen.
“De kenmerken en functionaliteit van Whisper 2FA laten zien hoe phishingkits zich hebben ontwikkeld van eenvoudige credential stealers tot geavanceerde, full-service aanvalsplatforms”, zegt Saravanan Mohankumar, Manager, Threat Analysis-team bij Barracuda. “Met een combinatie van real-time onderschepping van MFA-tokens, meerdere verhullingslagen en anti-analysetechnieken maakt Whisper 2FA het voor gebruikers en securityteams moeilijk om fraude te detecteren. Om beschermd te blijven, moeten organisaties meer doen dan alleen het statische verdedigingsmechanismen. Ze moeten meerdere securitylagen inzetten: gebruikerstraining, MFA dat bestendig is tegen phishing, continue monitoring en het delen van dreigingsinformatie. "
Meer informatie is hier beschikbaar.
Meer over Barracuda
Over Wouter Hoeffnagel
