Nowe narzędzie do wyłudzania informacji pomaga przestępcom kraść hasła Microsoft 365 użytkownikom na całym świecie. Firma ochroniarska KnowBe4 ujawniła usługę o nazwie „Quantum Route Redirect”.
Przenika filtry poczty e-mail, wyświetlając im bezpieczne strony internetowe. Użytkownicy będący ludźmi są jednak wysyłani do fałszywych witryn logowania, które przechwytują ich dane. Metoda ta, działająca w 90 krajach, ma większość celów w USA. Eksperci twierdzą, że narzędzie to zapewnia potężną broń mniej wykwalifikowanym atakującym, ułatwiając każdemu popełnienie poważnego cyberprzestępstwa.
Laboratoria zagrożeń KnowBe4 po raz pierwszy zidentyfikował kampanię na początku sierpnia, obserwując wyrafinowaną operację wycelowaną w dane logowania Microsoft 365 za pomocą różnych przynęt.
Osoby atakujące podszywają się pod usługi takie jak DocuSign, wysyłaj fałszywe powiadomienia o płacach lub używaj kodów QR w atakach typu „unicestwienie”, aby skierować ofiary na strony zbierające dane uwierzytelniające. Wspólnym wątkiem jest potężny silnik działający za kulisami.
Poznaj Quantum Route Redirect: phishing staje się łatwy
Automatyzując złożoną mechanikę unikania ataków, nowe narzędzie usprawnia niegdyś wymagający technicznie proces. Jego podstawową funkcją jest inteligentny system filtrowania, który odróżnia automatyczne skanery bezpieczeństwa od potencjalnych ofiar ludzkich.
Kiedy narzędzie bezpieczeństwa skanuje łącze w wiadomości e-mail phishingowej, Quantum Route Redirect prezentuje nieszkodliwą, legalną stronę internetową. Ta technika umożliwia złośliwej wiadomości e-mail przechodzenie przez warstwy zabezpieczeń, takie jak bezpieczne bramy poczty e-mail (SEG).
Prawdziwa osoba klikająca to samo łącze jest jednak dyskretnie wysyłana na stronę zbierania poświadczeń, naśladującą portal logowania Microsoft 365. To zaawansowane maskowanie chroni infrastrukturę atakującego przed wykryciem i umieszczeniem na czarnej liście.
Jego skala jest już znacząca – KnowBe4 zidentyfikowało około 1000 domen hostujących zestaw do phishingu. Jego wpływ ma charakter globalny, a ofiary są zagrożone w 90 krajach, chociaż największy ciężar ataków ponoszą Stany Zjednoczone, na które cierpi 76% użytkowników.
Platforma zapewnia również użytkownikom-przestępcom elegancki interfejs zarządzania. Panel administracyjny umożliwia łatwą konfigurację reguł przekierowań, a pulpit nawigacyjny oferuje analizy w czasie rzeczywistym ruchu ofiar, w tym lokalizację, typ urządzenia i informacje o przeglądarce.
Wbudowane funkcje takie jak automatyczny odcisk palca przeglądarki i wykrywanie VPN/proxy, co usuwa prawie wszystkie przeszkody techniczne dla operatora.
Demokratyzacja cyberprzestępczości
Ta ewolucja metodologii ataków sygnalizuje krytyczne wyzwanie dla bezpieczeństwa przedsiębiorstwa. Quantum Route Redirect to doskonały przykład „demokratyzacji cyberprzestępczości” – trendu, w którym wyrafinowane narzędzia są umieszczane w przyjaznych dla użytkownika platformach typu phishing jako usługa (PhaaS).
Takie usługi obniżają barierę wejścia, umożliwiając cyberprzestępcom posiadającym minimalną wiedzę techniczną prowadzenie kampanii mogących ominąć tradycyjne mechanizmy obronne.
Takie platformy stanowią część rosnącego łańcucha dostaw przestępczości, w którym osoby atakujące mogą kupić gotowe zestawy, które poradzą sobie ze wszystkim: uchylanie się od gromadzenia danych uwierzytelniających. Ten trend nie jest nowy; poprzednia kampania skierowana do Microsoft 365 wykorzystywała zestaw narzędzi PhaaS znany jako „Rockstar 2FA” do ominięcia uwierzytelniania wieloskładnikowego.
Podobnie jak Quantum Route Redirect, była sprzedawana w ramach subskrypcji, udostępniając zaawansowane możliwości za niewielką opłatą.
Szersza dostępność tych narzędzi przyspiesza tempo ataków i jest zgodna z ostrzeżeniami firmy Microsoft, która zauważyła, że „sztuczna inteligencja zaczęła obniżać poprzeczkę techniczną dla podmiotów zajmujących się oszustwami i cyberprzestępczością… co sprawia, że łatwiej i taniej jest generować wiarygodną treść na potrzeby cyberataków w coraz szybszym tempie.”
Szerszy trend polegający na zaufaniu do broni
Strategia stojąca za Quantum Route Redirect jest częścią szerszego, bardziej podstępnego trendu: uzbrojenia legalnych i zaufanych usług.
Cyberprzestępcy coraz częściej wykorzystują infrastrukturę uznanych firm, aby ich ataki wyglądały autentycznie i omijały filtry bezpieczeństwa. W niedawnym raporcie podkreślono o 67% wzrost liczby przypadków wykorzystywania zaufanych platform biznesowych, takich jak QuickBooks i Zoom, do ataków phishingowych.
Atakujący rozumieją, że narzędzia bezpieczeństwa i użytkownicy rzadziej będą podejrzliwi wobec ruchu pochodzące ze znanej, renomowanej domeny. Na początku tego roku w podobnej kampanii wykorzystano funkcję „zawijania linków” oferowaną przez dostawców zabezpieczeń Proofpoint i Intermedia.
Łącząc bezpieczeństwo konta już chronionego przez te usługi, osoby atakujące mogą wysyłać złośliwe linki, które zostały automatycznie przepisane przy użyciu zaufanego zabezpieczającego adresu URL, skutecznie je prając.
Ostateczny szkodliwy link jest często oddalony o kilka kroków od pierwszego kliknięcia, co oszukuje zarówno oprogramowanie zabezpieczające, jak i ostrożnych użytkowników.
Obrona przed tą nową rzeczywistością wymaga strategia wielowarstwowa. Chociaż szkolenie w zakresie świadomości użytkowników pozostaje ważne, nie jest już wystarczające, gdy złośliwe linki są maskowane przez zaufane domeny.
Firmy potrzebują zaawansowanych rozwiązań w zakresie bezpieczeństwa poczty e-mail umożliwiających głęboką analizę treści przy użyciu przetwarzania języka naturalnego wraz z niezawodnym filtrowaniem adresów URL na podstawie czasu kliknięcia.
Microsoft podjął już działania na poziomie platformy przeciwko podobnym zagrożeniom, takie jak decyzja z 2025 r. o blokowaniu wbudowanych obrazów SVG w programie Outlook w celu zwalczania phishingu przenoszonego przez SVG.
Ostatecznie przygotowanie się na narzędzia takie jak Quantum Route Redirect wymaga połączenia niezawodnych kontroli technicznych i procedur szybkiego reagowania w przypadku nieuniknionego naruszenia bezpieczeństwa danych uwierzytelniających.
