Barracuda waarschuwt voor phishing via Microsoft OAuth en online platforms
Onderzoekers van beveiligingsbedrijf Barracuda heeft de afgelopen maand twee phishing-trends geïdentificeerd, die zich richten op organisaties wereldwijd. Het gaat om phishingkits die Microsoft OAuth misbruiken en om aanvallers die misbruik maken van een breder scala aan online platforms om phishingpagina's te creëren en te hosten.
Barracuda noemt in zijn maandelijkse Email Threat Radar onder meer de phishingkit Tycoon, waar het eerder in september ook al over waarschuwde. Tycoon en ook phishingkit EvilProxy maken misbruik van Microsoft Oauth, een bekende standaard waarmee gebruikers kunnen inloggen op applicaties van derden, zonder hun wachtwoorden te delen.
Geavanceerde Phishing-as-a-Service (PhaaS)-kits als Tycoon en EvilProxy misbruiken zwakke plekken in OAuth-implementaties om ongeoorloofde en permanente toegang tot accounts en gegevens te verkrijgen.
Door misbruik van OAuth kunnen aanvallers:
- Toegangstokens stelen
- Zich voordoen als gebruikers
- Gestolen klantgegevens gebruiken om toegang te verkrijgen tot accounts en persoonlijke gegevens
- Schadelijke applicaties registreren zodat ze betrouwbaar lijken, om gebruikers te misleiden en ze zover te krijgen dat ze toegang verlenen
- Misbruik maken van zwakke controlemechanismen van de websiteadressen die worden gebruikt tijdens het inloggen of omleiden
- Misbruik maken van automatische inlogfuncties om zonder medeweten van de gebruiker autorisatiecodes te stelen
- Het .default-bereik aanvragen en misbruiken, dat uitgebreide, vooraf geconfigureerde API-toestemmingen verleen. Aanvallers die toegangstokens hebben weten te verkrijgen, kunnen zo hun privileges uitbreiden en toegang krijgen tot gevoelige bronnen.
Misbruik van serverless platforms
Barracuda ziet daarnaast dat oplichters misbruik maken van serverless platforms, websitebouwers en productiviteitstools om phishing te hosten. Dergelijke platforms worden gebruikt voor het hosten van code, voor serverless computing en voor het bouwen van websites, evenals van online productiviteitstools om phishingsites en schadelijke content te creëren en te verspreiden.
Serverless computing platforms helpen ontwikkelaars bij het bouwen en draaien van nieuwe apps zonder dat ze in infrastructuur hoeven te investeren. Serverless platforms bieden toegankelijkheid, gebruiksgemak en schaalbaarheid. Dergelijke functies worden ook door phishingbendes benut om zich achter een legitiem domein te verschuilen.
De phishingkit Logokit PhaaS maakt misbruik van een serverless platform dat kleine JavaScript- of TypeScript-snippets in de cloud kan draaien, zo ontdekten onderzoekers van Barracuda onlangs.. Dit platform maakt het gebruik van publieke URL's en directe implementatie vanuit een codefragment mogelijk, wat het voor aanvallers nog makkelijker maakt om hun campagnes uit te voeren.
De aanvallen die Barracuda heeft waargenomen, beginnen met een vervalste e-mail die zich voordoet als Roundcube Webmail waarin staat dat het wachtwoord van de ontvanger bijna verloopt. Als de ontvanger op de button ‘Mijn wachtwoord behouden’ klikt, wordt hij doorgestuurd naar een phishing-site. De schadelijke content wordt gehost op het serverless computing platform.
Kijk voor meer informatie op: https://blog.barracuda.com/2025/09/23/email-threat-radar-september-2025.
