Cybercriminelen ontwijken phishingdetectie bij het aanvallen van Microsoft-accounts door het platform Bubble—waarmee je zonder code apps kunt bouwen—te misbruiken om kwaadaardige webapps te maken en hosten.

Omdat deze webapp op een legitiem platform wordt gehost, markeren beveiligingstools de link niet als bedreiging, waardoor gebruikers de pagina probleemloos kunnen openen.

Onderzoekers van Kaspersky melden dat criminelen deze methode gebruiken om slachtoffers naar een echte phishingpagina te leiden, die vaak een Microsoft-inlogportaal nabootst en soms achter een Cloudflare-check schuilgaat.

Ingevoerde gegevens op deze nepwebpagina’s worden doorgegeven aan de phishers, die deze vervolgens kunnen gebruiken om toegang te krijgen tot e-mail, agenda en andere gevoelige gegevens van Microsoft 365-accounts.

Bubble is een AI-gedreven platform waarop gebruikers de app beschrijven die ze willen bouwen, waarna het platform automatisch de backend-logica en frontend genereert.

De apps worden gehost op Bubble’s infrastructuur met het domein *.bubble.io, een vertrouwde domeinnaam die niet snel beveiligingswaarschuwingen oproept.

Phishers benutten dit door Bubble-apps te maken met complexe JavaScript-bundels en Shadow DOM-structuren, die niet als gevaarlijke scripts of schadelijk worden gemarkeerd door analysetools.

“De door dit platform gegenereerde code is een wirwar van JavaScript en geïsoleerde Shadow DOM-structuren,” legt Kaspersky uit.

“Zelfs voor experts is het lastig om in één oogopslag te zien wat er gebeurt; diepgaande analyse is nodig om het doel en de werking te begrijpen.”

“Automatische webcode-analysealgoritmes raken vaak in de war, met als resultaat dat ze concluderen dat dit gewoon een functionele, nuttige site is.”

De onderzoekers waarschuwen dat het misbruiken van AI-gedreven app-bouwers voor het omzeilen van phishingdetectie waarschijnlijk populair zal worden op online platforms die phishing als dienst aanbieden. Deze platforms bieden al geavanceerde technieken aan zoals sessiecookie-diefstal en methoden om tweefactorauthenticatie te omzeilen, dus het gebruik van legitieme platforms zal de sluipende aanvallen verder versterken.

BleepingComputer heeft Bubble gevraagd om commentaar op de bevindingen van Kaspersky en hun plannen om misbruik tegen te gaan, maar tot op heden nog geen reactie ontvangen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.