Ett nytt nätfiskeverktyg hjälper kriminella att stjäla Microsoft 365-lösenord från användare över hela världen. Säkerhetsföretaget KnowBe4 exponerade tjänsten, som heter”Quantum Route Redirect.”
Den går förbi e-postfilter genom att visa dem säkra webbsidor. Mänskliga användare skickas dock till falska inloggningssidor som fångar deras uppgifter. Denna metod är aktiv i 90 länder och har de flesta av sina mål i USA. Experter säger att verktyget ger kraftfulla vapen till mindre skickliga angripare, vilket gör det lättare för alla att begå allvarlig it-brottslighet.
KnowBe4:s hotlabs identifierade för första gången kampanjen i början av augusti, och observerade en sofistikerad operation inriktad på Microsoft 365-referenser med olika beten.
Angripare utger sig för att vara tjänster som DocuSign-angreppsmeddelanden i QR-kod eller”quihing”-angrepp. för att leda offer mot deras insamlingssidor. En kraftfull motor som arbetar bakom kulisserna är den röda tråden.
Möt Quantum Route Redirect: Phishing Made Easy
Genom att automatisera den komplexa mekaniken kring undanflykt effektiviserar det nya verktyget det som en gång var en tekniskt krävande process. Dess kärnfunktion är ett intelligent filtreringssystem som skiljer mellan automatiserade säkerhetsskannrar och potentiella mänskliga offer.
När ett säkerhetsverktyg skannar en länk i ett nätfiskemeddelande, presenterar Quantum Route Redirect en ofarlig, legitim webbsida. Den här tekniken gör att den skadliga e-posten kan passera genom säkerhetslager som säkra e-postgateways (SEG).
En verklig person som klickar på samma länk skickas dock tyst till en inloggningssida för autentiseringsuppgifter som efterliknar en Microsoft 365-inloggningsportal. Denna avancerade cloaking skyddar angriparens infrastruktur från att upptäckas och svartlistas.
Dess omfattning är redan betydande, med KnowBe4 som identifierar cirka 1 000 domäner som är värd för nätfiskepaketet. Dess inverkan är global, med offer som utsatts för komprometteringar i 90 länder, även om USA bär bördan av attackerna och står för 76 % av de drabbade användarna.
Plattformen förser också sina kriminella användare med ett elegant gränssnitt för hantering. En administratörspanel möjliggör enkel konfigurering av omdirigeringsregler, medan en instrumentpanel erbjuder realtidsanalys av offertrafik, inklusive plats, enhetstyp och webbläsarinformation.
Funktioner som automatisk webbläsarfingeravtryck och VPN/proxydetektering är inbyggda, vilket tar bort nästan alla tekniska hinder för operatören.
The Democratization of Cybercrimh3. Utvecklingen av attackmetoder signalerar en kritisk utmaning för företagssäkerhet. Quantum Route Redirect är ett utmärkt exempel på”demokratisering av cyberbrottslighet”, en trend där sofistikerade verktyg paketeras i användarvänliga Phishing-as-a-Service (PhaaS)-plattformar.
Sådana tjänster sänker inträdesbarriären och gör det möjligt för hotaktörer med minimal teknisk expertis att lansera kampanjer som kan förbigå traditionella försvarsdelar
försörjningskedja där angripare kan köpa färdiga kit som hanterar allt från skatteflykt till insamling av inloggningsuppgifter. Denna trend är inte ny; en tidigare kampanj riktad mot Microsoft 365 använde en PhaaS-verktygssats känd som”Rockstar 2FA”för att kringgå multifaktorautentisering.
Precis som Quantum Route Redirect såldes den som en prenumeration, vilket gjorde avancerade funktioner tillgängliga för en blygsam avgift.
Bredare tillgänglighet av dessa verktyg har inte påskyndat attacker och anpassningar från Microsoft, vilket inte har accelererat tempot från AI. börjat sänka den tekniska ribban för bedrägeri-och cyberbrottsaktörer… vilket gör det enklare och billigare att generera trovärdigt innehåll för cyberattacker i en allt snabbare takt.”
A Wider Trend of Weaponizing Trust
Strategien bakom Quantum Route Redirect är en del av en bredare, mer trovärdig och pålitlig trend för tjänster:
A Wider Trend of Weaponizing Trust.
Cyberbrottslingar samarbetar i allt större utsträckning av etablerade företags infrastruktur för att få deras attacker att framstå som autentiska och kringgå säkerhetsfilter. En nyligen genomförd rapport lyfte fram en 67 % ökning av missbruket av betrodda affärsplattformar som QuickBooks och Zoom för nätfiske-attacker som är mindre sannolika för nätfiske-attacker och-användare är mindre sannolika.
att vara misstänksam mot trafik som härrör från en känd, välrenommerad domän. Tidigare i år missbrukade en liknande kampanj funktionen”länkinpackning”som erbjuds av säkerhetsleverantörerna Proofpoint och Intermedia.
Genom att äventyra ett konto som redan skyddats av dessa tjänster kunde angripare skicka skadliga länkar som automatiskt skrevs om med en pålitlig säkerhets-URL, vilket effektivt tvättade dem.
Det sista steget av skadlig programvara som skadliga klick och skadade länkar är ofta flera av de skadliga klicken och den skadliga programvaran. användare.
Att försvara sig mot denna nya verklighet kräver en strategi i flera lager. Även om utbildning i användarmedvetenhet förblir viktig, räcker det inte längre när skadliga länkar maskeras av betrodda domäner.
Företag behöver avancerade e-postsäkerhetslösningar som kan djupgående innehållsanalyser med naturligt språkbehandling, tillsammans med robust URL-filtrering med tid för klick.
Microsoft har redan vidtagit åtgärder på plattformsnivå, som t.ex. mot liknande hot mot SVG-bilder till SVG, i Outlook 205. bekämpa SVG-buret nätfiske.
I slutändan kräver förberedelser för verktyg som Quantum Route Redirect en kombination av motståndskraftiga tekniska kontroller och snabba svarsprocedurer för när autentiseringsuppgifterna oundvikligen äventyras.
Cyberbrottslingar samarbetar i allt större utsträckning av etablerade företags infrastruktur för att få deras attacker att framstå som autentiska och kringgå säkerhetsfilter. En nyligen genomförd rapport lyfte fram en 67 % ökning av missbruket av betrodda affärsplattformar som QuickBooks och Zoom för nätfiske-attacker som är mindre sannolika för nätfiske-attacker och-användare är mindre sannolika.
att vara misstänksam mot trafik som härrör från en känd, välrenommerad domän. Tidigare i år missbrukade en liknande kampanj funktionen”länkinpackning”som erbjuds av säkerhetsleverantörerna Proofpoint och Intermedia.
Genom att äventyra ett konto som redan skyddats av dessa tjänster kunde angripare skicka skadliga länkar som automatiskt skrevs om med en pålitlig säkerhets-URL, vilket effektivt tvättade dem.
Det sista steget av skadlig programvara som skadliga klick och skadade länkar är ofta flera av de skadliga klicken och den skadliga programvaran. användare.
Att försvara sig mot denna nya verklighet kräver en strategi i flera lager. Även om utbildning i användarmedvetenhet förblir viktig, räcker det inte längre när skadliga länkar maskeras av betrodda domäner.
Företag behöver avancerade e-postsäkerhetslösningar som kan djupgående innehållsanalyser med naturligt språkbehandling, tillsammans med robust URL-filtrering med tid för klick.
Microsoft har redan vidtagit åtgärder på plattformsnivå, som t.ex. mot liknande hot mot SVG-bilder till SVG, i Outlook 205. bekämpa SVG-buret nätfiske.
I slutändan kräver förberedelser för verktyg som Quantum Route Redirect en kombination av motståndskraftiga tekniska kontroller och snabba svarsprocedurer för när autentiseringsuppgifterna oundvikligen äventyras.
