De ontdekte technieken benadrukken dat traditionele beveiligingsoplossingen moeite hebben met detectie nu phishingkits continu evolueren en zich steeds realistischer voordoen.

1. Tycoon 2FA Phishingkit wordt geavanceerder

De beruchte Tycoon 2FA-phishingkit, die inloggegevens steelt voor Microsoft 365 en Google Workspace, blijft zich ontwikkelen. Recente aanpassingen in de toolkit maken detectie door geautomatiseerde systemen complexer:

Verhulling van Code: De phishingsites gebruiken LZString-compressie om grote delen van de code te verbergen, die pas in de browser van het slachtoffer wordt uitgevoerd.

Geloofwaardigheid: Door de integratie van diverse CAPTCHA-tests en het nabootsen van OAuth2-achtige URL’s, proberen de aanvallers legitiem over te komen en geautomatiseerde beveiliging te vertragen.

Dynamische Aanval: De code wordt pas actief nadat de pagina volledig is geladen, waardoor de aanval onder de radar blijft.

Beschermingstip: Gebruik gelaagde beveiliging met adaptieve authenticatie en continue monitoring om Adversary-in-the-Middle (AiTM)-tactieken te herkennen.

2. Cephas gebruikt onzichtbare tekens

De Cephas-phishingkit, opvallend door zijn unieke verhullingstechniek, gebruikt willekeurige, onzichtbare tekens in zijn broncode. Dit brengt anti-phishing scanners en YARA-regels in de war, wat de analyse en herkenning van de code bemoeilijkt.

Beschermingstip: Schakel Multifactorauthenticatie (MFA) in voor alle cloudservices, en gebruik waar mogelijk phishingbestendige methoden zoals hardware security keys.

3. Steganografie: malware verborgen in afbeeldingen

Onderzoekers ontdekten een geavanceerde phishingcampagne die steganografie gebruikt: het verbergen van schadelijke data in onschuldig ogende bestanden, zoals afbeeldingen.

De aanval verloopt als volgt: een legitiem ogende e-mail leidt via een link naar een verhuld JavaScript-bestand. Dit bestand start een PowerShell-commando dat een PNG-afbeelding van een legitieme website downloadt. De echte malware zit vervolgens gecodeerd verborgen in deze afbeelding, waardoor traditionele beveiligingssoftware de schadelijke code niet detecteert. De malware wordt direct uitgevoerd vanuit het werkgeheugen zonder sporen op de schijf achter te laten.

Beschermingstip: Wees alert op ongebruikelijk grote mediabestanden en onverwacht uitgaand verkeer. Gebruik geavanceerde e-mailbeveiliging op basis van multi-modale AI die niet alleen tekst en URL’s, maar ook afbeeldingen en QR-codes kan analyseren. Beperk daarnaast de toegestane bestandstypen en blokkeer macro’s.