Quantum Route Redirect richt zich wereldwijd op Microsoft 365-gebruikers

Een nieuw platform voor geautomatiseerde phishing, genaamd Quantum Route Redirect (QRR), maakt gebruik van ongeveer 1.000 domeinen om de inloggegevens van Microsoft 365-gebruikers te stelen. Dit systeem is vooraf geconfigureerd met phishing-domeinen, waardoor minder ervaren cyberaanvallers met minimale inspanning maximaal kunnen presteren.

Sinds augustus hebben analisten van het beveiligingsbedrijf KnowBe4 aanvallen met Quantum Route Redirect wereldwijd gezien, waarbij bijna driekwart van de aanvallen in de VS plaatsvond.

Het platform wordt omschreven als een geavanceerd automatiseringssysteem dat alle stadia van een phishingaanval kan afdekken, van het omleiden van verkeer naar schadelijke domeinen tot het volgen van slachtoffers. De aanvallen beginnen met een schadelijke e-mail die eruitziet als een DocuSign-verzoek, betalingsmelding, gemiste voicemail of QR-code. Deze e-mails brengen de ontvangers naar een inlogpagina met een specifiek patroon.

Onderzoekers hebben opgemerkt dat de domeinen consistent een bepaald URL-patroon volgen en meestal worden gehost op geparkeerde of gecompromitteerde domeinen. Het hosten op legitieme domeinen kan helpen bij het misleiden van menselijke doelwitten.

KnowBe4 heeft ongeveer 1.000 domeinen geïdentificeerd die QRR-phishingpagina’s hosten. Een ingebouwd filtersysteem kan het verschil zien tussen bots en mensen, waarbij mogelijke slachtoffers naar een phishingpagina worden geleid, terwijl geautomatiseerde systemen, zoals e-mailbeveiligingshulpmiddelen, naar onschuldige sites worden geleid.

Het centrale verkeersrouteringssysteem van QRR voert zijn omleidingswerkzaamheden automatisch uit, terwijl operators de gerelateerde statistieken in real-time kunnen bekijken op het dashboard.

KnowBe4 constateerde dat de QRR-phishingkit zich richt op Microsoft 365-accounts in 90 landen, maar 76% van de aanvallen was gericht op gebruikers in de VS. De onderzoekers verwachten een toename in het gebruik van Quantum Route Redirect vanwege de methoden die worden gebruikt om URL-scantechnologieën te omzeilen.

Gelijkaardige diensten die eerder dit jaar populair werden zijn onder meer VoidProxy, Darcula, Morphing Meerkat en Tycoon2FA. Er zijn echter verdedigingstechnieken die hiertegen bescherming bieden. KnowBe4 adviseert om robuuste URL-filtering te implementeren die phishingpogingen kan detecteren, samen met tools die accounts kunnen monitoren op tekenen van compromittering als de inloggegevens van een gebruiker worden gestolen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.