Microsoft Waarschuwt Voor Geavanceerde Cyberaanvallen in de Belastingperiode
De techgigant heeft een nieuwe waarschuwing afgegeven over een golf van cyberaanvallen die zich richt op Amerikaanse organisaties, met name tijdens het belastingseizoen.
Microsoft heeft onlangs een dringende cyberbeveiligingswaarschuwing uitgegeven die zich sterk richt op Amerikaanse organisaties. Diverse geavanceerde phishingcampagnes worden ingezet om hooggeavanceerde malware te verspreiden, met technieken die gebruik maken van PDF-bestanden, QR-codes en ogenschijnlijk betrouwbare derde-partij diensten, zoals DocuSign en Dropbox.
Deze aanvallen zijn ontworpen om inloggegevens te stelen, achterdeurtjes te installeren en een stille infiltratie van zakelijke netwerken mogelijk te maken. Analisten van het bedrijf hebben de groep Storm-0249 geïdentificeerd als een van de verantwoordelijken, bekend om het gebruik van trojans zoals Latrodectus, Remcos RAT, GuLoader, en BruteRatel C4, evenals nieuwe post-exploitatiehulpmiddelen zoals AHKBot.
Phishing-as-a-Service en Ontwijkingstechnieken
De campagnes maken gebruik van Phishing-as-a-Service (PhaaS) platforms zoals RaccoonO365, die het mogelijk maken om valse pagina’s te genereren die lijken op de inlogomgeving van Microsoft 365, gericht op het verzamelen van bedrijfsgegevens. Een van de door Microsoft gedocumenteerde gevallen, gedateerd op 6 februari 2025, beschrijft een infectieketen die begint met een PDF-bestand dat de gebruiker doorverwijst naar een verkorte URL. Daar wordt een valse DocuSign-pagina getoond die, afhankelijk van het besturingssysteem en het IP-adres, een JavaScript-bestand kan afleveren dat BRc4 downloadt, de toegangspoort voor Latrodectus.
In een andere campagne, waargenomen tussen 12 en 28 februari, werden meer dan 2.300 kwaadaardige e-mails zonder tekst verzonden, met PDF-bestanden die kwaadaardige QR-codes bevatten. Deze wezen op phishinglinks die zich voordeden als Microsoft 365. De meest getroffen sectoren waren consulting, IT en engineering.
Meervoudige Infectielagen: Van ZIP-bestanden tot Excel-macro’s
Naast PDF-bestanden maken de aanvallers gebruik van .lnk-bestanden die verborgen zijn in ZIP-archieven en Excel-documenten met kwaadaardige macro’s. Een voorbeeld dat door Microsoft werd gedetecteerd, omvat het gebruik van Excel-macro’s om scripts van AutoHotKey te downloaden en te starten, die op hun beurt schermafbeeldingen opnemen en gegevens exfiltreren.
Daarnaast zijn er verborgen links ontdekt in SVG-bestanden en URL’s die via diensten zoals Rebrandly worden doorgestuurd, waardoor veel traditionele anti-phishingfilters worden omzeild. Deze technieken zijn ontworpen om de uiteindelijke URL van de kwaadaardige sites te verbergen, waardoor detectie door beveiligingssystemen moeilijker wordt.
Criminele Slimheid en Exploitatie van Legitieme Platforms
Onder de middelen die door aanvallers worden uitgebuit, bevinden zich veelgebruikte samenwerkingsdiensten zoals Adobe, DocuSign, Canva, Zoho en Dropbox, waardoor kwaadaardige e-mails ongemerkt kunnen passeren via email gateways (SEG).
Analyse door Palo Alto Networks onthult ook een patroon in het gebruik van QR-codes in campagnes die gericht zijn op Europa en de VS, waarbij aanvallers vermijden de kwaadaardige URL rechtstreeks te tonen en in plaats daarvan kiezen voor open redirects op betrouwbare sites.
Microsoft heeft vastgesteld dat zelfs platforms zoals Facebook zijn gebruikt om verkeer naar valse pagina’s om te leiden die Windows 11-installateurs aanbieden, die in werkelijkheid Latrodectus of Gh0st RAT verspreiden, zoals recent onderzoek aantoont.
Gevolgen en Aanbevolen Beschermmaatregelen
De gedocumenteerde aanvallen zijn niet alleen gericht op het stelen van wachtwoorden, maar ook op persistente aanwezigheid, zijwaartse beweging binnen bedrijfsnetwerken en het voorbereiden van toekomstige inbraken. Het gebruik van geplande taken, uitvoering van externe commando’s en verzameling van inloggegevens komt steeds meer voor in deze campagnes.
Microsoft beveelt aan om een multifactor-authenticatie (MFA) in te voeren die bestand is tegen phishing, om uitgaand verkeer naar verdachte domeinen te filteren, veilige browsers te gebruiken en gebruikers te trainen in het herkennen van phishingpogingen.
Deze campagnes tonen aan dat het cybercrime-ecosysteem zich professionaliseert en zich snel aanpast. Organisaties moeten niet alleen voorbereid zijn om bekende bedreigingen te detecteren, maar ook om steeds creatievere en hardnekkigere tactieken te mitigeren, vooral diegene die sociale engineering combineren met geautomatiseerde malware-distributie.
Deze nieuwe golf van campagnes laat zien dat cyberveiligheid in zakelijke omgevingen niet langer kan vertrouwen op traditionele filters alleen. De overlap tussen legitieme platforms en criminele hulpmiddelen vereist een integrale verdediging, waarbij elke digitale interactie moet worden geverifieerd en gemonitord.