Phishingkit Saiga 2FA: Onzichtbaar en dodelijk
Cybersecuritybedrijf Barracuda Research slaat alarm over de heropleving van Saiga 2FA, een zeldzame maar uiterst geraffineerde phishingkit. De kit, die zich specifiek richt op het omzeilen van multifactorauthenticatie (MFA), is geëvolueerd van een simpele tool naar een volwaardig aanvalsplatform dat bijna niet te onderscheiden is van legitieme webapplicaties.
Terwijl de meeste phishing-as-a-service (PhaaS) platforms mikken op massale verspreiding, opereert Saiga 2FA meer als een 'boetiekdienst'. Het platform is ontworpen om onder de radar van geavanceerde beveiligingsscanners te blijven door gebruik te maken van technieken die normaal gesproken alleen in professionele softwareontwikkeling worden gezien.
De 'Adversary-in-the-Middle' tactiek
Saiga 2FA maakt gebruik van de zogenaamde Adversary-in-the-Middle (AitM) methode. Hierbij nestelt de aanvaller zich onzichtbaar tussen de gebruiker en de legitieme dienst (zoals Microsoft 365). Wanneer een slachtoffer inlogt via een vervalste link of QR-code, steelt Saiga niet alleen het wachtwoord, maar onderschept het ook de MFA-code en de sessiecookie. Hiermee krijgt de aanvaller direct toegang tot de zakelijke mailbox, zónder dat er opnieuw ingelogd hoeft te worden.
Waarom Saiga detectie ontwijkt
Wat de onderzoekers van Barracuda met name opviel, is hoe de kit scanners om de tuin leidt:
- Dynamische JavaScript-content: In plaats van statische HTML-pagina’s die scanners makkelijk kunnen herkennen, bouwt Saiga de phishing-content pas op het allerlaatste moment in de browser van het slachtoffer op met JavaScript.
- 'Lorem Ipsum' als dekmantel: De metadata van de frauduleuze pagina's staat vol met de bekende pseudo-Latijnse opvultest (lorem ipsum). Dit voorkomt dat beveiligingssystemen die scannen op trefwoorden (zoals merknamen) alarm slaan.
- Anti-analyse: Zodra de kit detecteert dat een gebruiker of onderzoeker de 'developertools' van de browser opent, wordt de pagina direct omgeleid naar een onschuldige site zoals Google.
Van diefstal naar volledige overname
Saiga gaat verder dan alleen het stelen van inloggegevens. De kit bevat een geïntegreerde 'FM Scanner' die automatisch de inhoud van de gecompromitteerde mailbox doorzoekt naar gevoelige informatie. Deze data wordt vervolgens via de 'Saiga Mailer' gebruikt om nieuwe, nog geloofwaardigere phishingcampagnes te lanceren vanuit het account van het slachtoffer.
"Saiga behoort tot een klasse van geavanceerde kits die functioneren als een configureerbaar aanvalsplatform," zegt Saravanan Mohankumar, manager van het Threat Analysis Team bij Barracuda. "Back-end beheer via een web-dashboard en geavanceerde filtering maken dit veel gevaarlijker dan de eenvoudige kits die we voorheen zagen."
Hoe kunnen organisaties zich beschermen?
Nu phishingkits steeds vaker MFA kunnen omzeilen, volstaan traditionele sms-codes of pushmeldingen niet meer. Barracuda adviseert organisaties om over te stappen op phishingbestendige authenticatie, zoals FIDO2 of WebAuthn (bijvoorbeeld fysieke beveiligingssleutels). Daarnaast blijft strikte URL-verificatie en het monitoren van afwijkend inloggedrag essentieel om deze moderne digitale inbraken vroegtijdig te signaleren.
Saiga 2FA: De anatomie van een aanval
| Kenmerk | Methode |
| Doel | Omzeilen van MFA en diefstal van sessiecookies. |
| Vermomming | Gebruik van lorem ipsum metadata om merk-scanners te misleiden. |
| Techniek | Volledige JavaScript-applicatie in plaats van statische pagina's. |
| Extra Tools | Ingebouwde mailbox-scanner en automatische mailer voor vervolgaanvallen. |
| Detectie-ontwijking | Omleiding bij gebruik van browser-inspectietools. |
Meer over phishing
Over Witold Kepinski
