Een nieuwe phishing-tool helpt criminelen Microsoft 365-wachtwoorden van gebruikers over de hele wereld te stelen. Beveiligingsbedrijf KnowBe4 heeft de service openbaar gemaakt, genaamd “Quantum Route Redirect.”
Het omzeilt e-mailfilters door hen veilige webpagina’s te tonen. Menselijke gebruikers worden echter naar valse inlogsites gestuurd die hun gegevens vastleggen. Deze methode is actief in 90 landen en heeft de meeste doelwitten in de VS. Experts zeggen dat de tool krachtige wapens geeft aan minder ervaren aanvallers, waardoor het voor iedereen gemakkelijker wordt om ernstige cybercriminaliteit te plegen.
KnowBe4’s Threat Labs eerst identificeerde de campagne begin augustus en observeerde een geavanceerde operatie die Microsoft 365-referenties met diverse lokmiddelen targette.
Aanvallers imiteren services zoals DocuSign, stuur valse loonaankondigingen of gebruik QR-codes bij’quishing’-aanvallen om slachtoffers naar hun pagina’s voor het verzamelen van inloggegevens te leiden. Een krachtige motor die achter de schermen werkt, is de rode draad.
Maak kennis met Quantum Route Redirect: phishing gemakkelijk gemaakt
Door de complexe mechanismen van ontduiking te automatiseren, stroomlijnt de nieuwe tool wat ooit een technisch veeleisend proces was. De kernfunctie ervan is een intelligent filtersysteem dat onderscheid maakt tussen geautomatiseerde beveiligingsscanners en potentiële menselijke slachtoffers.
Wanneer een beveiligingstool een link in een phishing-e-mail scant, presenteert Quantum Route Redirect een onschadelijke, legitieme webpagina. Met deze techniek kan de kwaadaardige e-mail door beveiligingslagen gaan, zoals beveiligde e-mailgateways (SEG’s).
Een echte persoon die op dezelfde link klikt, wordt echter stilletjes naar een pagina voor het verzamelen van inloggegevens gestuurd die een Microsoft 365-inlogportal nabootst. Deze geavanceerde cloaking beschermt de infrastructuur van de aanvaller tegen ontdekking en zwarte lijst.
De omvang ervan is al aanzienlijk, waarbij KnowBe4 ongeveer 1.000 domeinen identificeert die de phishing-kit hosten. De impact ervan is mondiaal, met slachtoffers in 90 landen, hoewel de Verenigde Staten het zwaarst te lijden hebben onder de aanvallen, goed voor 76% van de getroffen gebruikers.
Het platform biedt zijn criminele gebruikers ook een gestroomlijnde beheerinterface. Een beheerderspaneel maakt eenvoudige configuratie van omleidingsregels mogelijk, terwijl een dashboard realtime analyses biedt van slachtofferverkeer, inclusief locatie, apparaattype en browserinformatie.
Functies zoals geautomatiseerde browserfingerprinting en VPN/proxy-detectie zijn ingebouwd, waardoor bijna alle technische hindernissen voor de operator worden weggenomen.
De democratisering van cybercriminaliteit
Deze evolutie in aanvalsmethodologie duidt op een cruciale uitdaging voor de bedrijfsbeveiliging. Quantum Route Redirect is een goed voorbeeld van de ‘democratisering van cybercriminaliteit’, een trend waarbij geavanceerde tools worden verpakt in gebruiksvriendelijke Phishing-as-a-Service (PhaaS)-platforms.
Dergelijke diensten verlagen de toegangsdrempel, waardoor dreigingsactoren met minimale technische expertise campagnes kunnen lanceren die de traditionele verdediging kunnen omzeilen.
Dergelijke platforms maken deel uit van een groeiende criminele toeleveringsketen waar aanvallers kant-en-klare kits kunnen kopen die alles aankunnen, van ontduiking tot ontduiking tot legitimatie verzamelen. Deze trend is niet nieuw; een eerdere campagne gericht op Microsoft 365 maakte gebruik van een PhaaS-toolkit die bekend staat als “Rockstar 2FA” om multi-factor authenticatie te omzeilen.
Net als Quantum Route Redirect werd het verkocht als abonnement, waardoor geavanceerde mogelijkheden toegankelijk werden voor een bescheiden vergoeding.
De bredere beschikbaarheid van deze tools versnelt het tempo van de aanvallen en komt overeen met waarschuwingen van Microsoft, waarin werd opgemerkt dat “AI de technische lat voor fraudeurs en cybercriminelen is gaan verlagen… waardoor het eenvoudiger en goedkoper om geloofwaardige inhoud te genereren voor cyberaanvallen in een steeds sneller tempo.”
Een bredere trend van het bewapenen van vertrouwen
De strategie achter Quantum Route Redirect maakt deel uit van een bredere, meer verraderlijke trend: de bewapening van legitieme en vertrouwde diensten.
Cybercriminelen coöpteren steeds vaker de infrastructuur van gevestigde bedrijven om hun aanvallen authentiek te laten lijken en beveiligingsfilters te omzeilen. Een recent rapport benadrukte een een stijging van 67% in het misbruik van vertrouwde zakelijke platforms zoals QuickBooks en Zoom voor phishing-aanvallen.
Aanvallers begrijpen dat beveiligingstools en gebruikers minder snel wantrouwend zijn tegenover verkeer dat afkomstig is van een bekende, gerenommeerd domein. Eerder dit jaar werd in een soortgelijke campagne misbruik gemaakt van de’link packing’-functie van beveiligingsleveranciers Proofpoint en Intermedia.
Door een account te compromitteren dat al door deze services wordt beschermd, konden aanvallers kwaadaardige links sturen die automatisch werden herschreven met een vertrouwde beveiligings-URL, waardoor ze effectief werden witgewassen.
De laatste kwaadaardige link is vaak meerdere stappen verwijderd van de eerste klik, waardoor zowel beveiligingssoftware als voorzichtige gebruikers worden misleid.
Verdediging tegen deze nieuwe realiteit vereist een meerlaagse aanpak strategie. Hoewel het trainen van gebruikersbewustzijn belangrijk blijft, is dit niet langer voldoende als kwaadaardige links worden gemaskeerd door vertrouwde domeinen.
Bedrijven hebben geavanceerde e-mailbeveiligingsoplossingen nodig die in staat zijn tot diepgaande inhoudsanalyse met behulp van natuurlijke taalverwerking, naast robuuste, time-of-click URL-filtering.
Microsoft heeft al actie op platformniveau ondernomen tegen soortgelijke bedreigingen, zoals het besluit uit 2025 om inline SVG-afbeeldingen in Outlook te blokkeren om SVG-phishing te bestrijden.
Uiteindelijk vereist de voorbereiding op tools als Quantum Route Redirect een combinatie van veerkrachtige technische controles en snelle reactieprocedures voor wanneer inloggegevens onvermijdelijk in gevaar komen.
