Cybersecurity-onderzoekers hebben gewaarschuwd voor een nieuwe speer-phishing-campagne die gebruik maakt van een legitiem hulpmiddel voor externe toegang genaamd NetBird om Chief Financial Officers (CFO’s) en financiële leidinggevenden te richten bij banken, energiebedrijven, verzekeraars en beleggingsondernemingen in Europa, Afrika, Canada, het Midden-Oosten en Zuid-Azië.
“In wat een phishing-operatie met meerdere fasen lijkt te zijn, wilden de aanvallers Netbird, een legitiem Wambuard-gebaseerde hulpmiddel voor externe toegang op afstand op de computer van het slachtoffer,” zei Trellix-onderzoeker Srini Seethapathy in een analyse.
De activiteit, voor het eerst gedetecteerd door het Cybersecurity Company half mei 2025, is niet toegeschreven aan een bekende dreigingsacteur of groep.
Het uitgangspunt van de aanval is een phishing -e -mail die een recruiter van Rothschild & Co. voordoet en beweert een “strategische kans” te bieden bij het bedrijf. De e-mail is ontworpen om de ontvangers te verleiden om een vermeende PDF-gehechtheid te openen die in werkelijkheid een phishing-link is die hen omleidt naar een door Firebase App gehoste URL.
Wat opmerkelijk is aan de infectie is dat de echte omleiding -URL wordt opgeslagen in de pagina in gecodeerde vorm en alleen toegankelijk is nadat het slachtoffer een Captcha -verificatiecontrole oplost, wat uiteindelijk leidt tot de download van een zip -archief.
“Het oplossen van de puzzel voert een (JavaScript) -functie uit die deze decodeert met een hard gecodeerde sleutel en de gebruiker omleidt naar de gedecodeerde link,” zei Seethapathy. “Aanvallers leunen meer en meer op deze aangepaste Captcha -poorten, in de hoop verdedigingen uit het verleden te glijden die al phishing -sites markeren die worden beschermd door CloudFlare Turnstile of Google Recaptcha.”
Aanwezig in het archief is een Visual Basic Script (VBScript) dat verantwoordelijk is voor het ophalen van een VBScript van de volgende fase van een externe server en het te starten via “WScript.exe.” Deze tweede fase VBScript-downloader haalt vervolgens een andere payload van dezelfde server op, hernoemt deze naar “TRM.ZIP” en haalt twee MSI-bestanden uit: Netbird en OpenSSH.
De laatste fase omvat het installeren van de twee programma’s op de geïnfecteerde host, het creëren van een verborgen lokaal account, het mogelijk maken van externe bureaubladtoegang en het aanhouden van Netbird via geplande taken zodat deze automatisch wordt gestart op systeemherstart. De malware verwijdert ook alle Netbird -bureaublad snelkoppelingen om ervoor te zorgen dat het compromis niet door het slachtoffer wordt gedetecteerd.
Trellix zei dat het een andere omleidings -URL identificeerde die bijna een jaar actief is geweest en dezelfde VBScript -lading bedient, wat aangeeft dat de campagne misschien al enige tijd bestaat.
De bevindingen laten opnieuw zien hoe tegenstanders in toenemende mate afhankelijk zijn van legitieme externe toegangstoepassingen zoals Connectwise ScreenConnect, Atera, Splashtop, FleetDeck en LogMein Resolve om doorzettingsvermogen te vestigen en te gebruiken om te graven in het netwerk van het slachtoffer, terwijl tegelijkertijd detectie wordt ontleed.
“Deze aanval is niet je typische phishing -zwendel,” zei Seethapathy. “Het is goed gemaakt, gericht, subtiel en ontworpen om uit het verleden te glijden technologie en mensen. Het is een multi-fase aanval waarbij de tegenstander gebruik maakt van sociale engineering en verdedigingsontduiking technieken om aanhoudende toegang tot het slachtoffersysteem te creëren en te behouden.”
De openbaarmaking valt samen met de ontdekking van verschillende e -mailgebaseerde sociale engineeringcampagnes in het wild –
- Aanvallen die misbruiken van een vertrouwd domein geassocieerd met een bekende Japanse internetprovider (ISP) om phishing-berichten te verzenden vanuit het e-mailadres “Company@Nifty (.) Com” in een poging om e-mailauthenticatiecontroles en oogstreferenties te krijgen
- Aanvallen die het Google Apps-scriptontwikkelingsplatform misbruiken om phishing-pagina’s te hosten die er legitiem uitzien en Microsoft Login-referenties stelen door e-mailtroeven met factuurthema te gebruiken
- Aanvallen die een Apple Pay -factuur nabootsen om gevoelige gebruikersgegevens te stelen, inclusief creditcardgegevens en Yahoo Mail -accountgegevens
- Aanvallen die misbruiken van het idee Workspaces om phishing -pagina’s te hosten die gebruikers misleiden om te klikken op links die de slachtoffers naar een nep -Microsoft -inlogpagina brengen onder het mom van het bekijken van een gedeeld document en de referenties via een telegram -bott
- Aanvallen die een jaren oude beveiligingsfout benutten in Microsoft Office (CVE-2017-11882) om de formuliermalwarevariant te leveren die verborgen is in een nep PNG-bestand en gevoelige gegevens van gecompromitteerde hosts stelen
PHAAS -diensten verlagen de lat
De bevindingen komen ook als Trustwave de operationele verbindingen tussen Tycoon en Dadsec (AKA Phoenix) phishing -kits gedetailleerd, die hun infrastructurele overlappingen benadrukken en het gebruik van een gecentraliseerde phishing -infrastructuur. Dadsec is het werk van een dreigingsacteur die door Microsoft wordt gevolgd onder de naam Storm-1575.
“De door DADSEC gebruikte infrastructuur is ook verbonden met een nieuwe campagne die gebruik maakt van het ’tycoon 2fa’ phishing-as-a-service (PHAAS) -platform,” zeiden trustwave-onderzoekers Cris Tomboc en King Orande. “Het onderzoek naar de tycoon2fa phishing-kit onthult hoe tegenstanders hun tactieken binnen het phishing-as-a-service (PHAAS) ecosysteem blijven verfijnen en uitbreiden.”
De groeiende populariteit van PHAAS-diensten wordt bewezen door de opkomst van een nieuwe “plug-and-play” Chinees-taalkit genaamd Haozi die naar schatting de afgelopen vijf maanden meer dan $ 280.000 aan criminele transacties heeft vergemakkelijkt door advertenties te verkopen aan externe diensten. Het werkt op abonnementbasis voor $ 2.000 per jaar.
“In tegenstelling tot oude phishing-kits die aanvallers vereisen om scripts of infrastructuur handmatig te configureren, biedt Haozi een strak, publiek gericht webpaneel,” zei Netcraft. “Zodra een aanvaller een server koopt en zijn inloggegevens in het paneel plaatst, wordt de phishing -software automatisch ingesteld, zonder een enkele opdracht uit te voeren.”
“Deze wrijvingsloze opstelling staat in contrast met andere PHAAS-tools zoals de AI-Enabled Darcula Suite, waar minimaal gebruik van de commandolijn nog steeds nodig is.”
Naast het ondersteunen van een admin-paneel waar gebruikers al hun campagnes op één plek kunnen beheren, is Haozi gevonden om advertentieruimte aan te bieden en fungeert hij als intermediair om phishing-kit-kopers te verbinden met diensten van derden, zoals die met betrekking tot SMS-leveranciers.
Een ander aspect dat Haozi onderscheidt van andere kits is een toegewijd after-sales telegram-kanaal (@yuanbaoaichiyu) om klanten te helpen bij foutopsporingsproblemen en het optimaliseren van hun campagnes, het positioneren als een aantrekkelijke optie voor aspirant-cybercriminalen die geen technische expertise hebben.
“Naarmate ondernemingsbeveiligingsteams effectiever worden in het detecteren en aanpakken van inbraakpogingen, implementeren aanvallers social engineering en phishing -zwendel, tactieken die geen geharde perimeter vereisen,” zei Netcraft -onderzoeker Harry Everett.
“PHAAS-aanbiedingen verlagen de campagnes van de vaardigheidsvloer en schaal door automatisering en gemeenschapsondersteuning. Deze nieuwe modellen werken meer als SaaS-bedrijven dan op zwarte markthacketgroepen, compleet met abonnementsprijzen, klantenservice en productupdates.”
Microsoft onthulde in een advies dat vorige week werd gepubliceerd, hoe PHAAS-platforms in toenemende mate drijvende tegenstanders-in-the-midden (AITM) -referentie phishing als de acceptatie van multi-factor authenticatie (MFA) -stieken.
Sommige van de andere technieken omvatten apparaatcode phishing; Oauth toestemming phishing; waar dreigingsactoren het Open Authorization (OAuth) -protocol in dienst nemen en e-mails verzenden met een kwaadwillende toestemmingskink voor een externe applicatie; Apparaat Join Phishing, waarbij dreigingsacteurs een phishing-link gebruiken om doelen te trick-doelen om het domein-join van een acteur-gecontroleerd apparaat te machtigen.
De Windows-maker zei dat het vermoedelijke Russisch gekoppelde dreigingsactoren heeft waargenomen met externe toepassingsberichten of e-mails die verwijzen naar aankomende vergaderuitnodigingen om een kwaadaardige link te leveren met een geldige autorisatiecode. De techniek werd voor het eerst gedocumenteerd door Volexity in april 2025.
“Hoewel zowel eindgebruikers als geautomatiseerde beveiligingsmaatregelen beter in staat zijn geworden in het identificeren van kwaadaardige phishing -bijlagen en links, blijven gemotiveerde dreigingsactoren vertrouwen op het exploiteren van menselijk gedrag met overtuigende kunstaas,” zei Igor Sakhnov, vice -president en plaatsvervangend ciso van identiteit bij Microsoft, zei.
“Terwijl deze aanvallen afnemen van het bedriegen van gebruikers, zijn gebruikerstraining en bewustzijn van algemeen geïdentificeerde technieken voor sociale engineering de sleutel tot het verdedigen tegen hen.”
