Een bedreigingsacteur heeft zich op organisaties in meerdere sectoren gericht met op spraak gebaseerde nep-beveiligingsverzoeken die Microsoft 365-gebruikers ertoe aanzetten een nieuwe Entra-wachtwoordsleutel in te schrijven met als doel gegevensafpersingsaanvallen uit te voeren.
De bedreigingsacteur, gevolgd door Okta onder de naam O-UNC-066heeft een paneelgestuurde phishing-kit ingezet die zich kan richten op het inschrijfproces van de toegangssleutel. De activiteit richt zich vooral op de voedings- en drankenindustrie, de technologiesector, de gezondheidszorgsector, de automobielsector, de bouwsector en de luchtvaartsector.
“De dreigingsactor registreert domeinen waarin het woord ‘passkey’ is verwerkt als onderdeel van een spraakgestuurd phishing-programma (‘vishing’),’ zegt Okta-onderzoeker Houssem Eddine Bordjiba. “De bedreigingsacteur belt vervolgens gerichte gebruikers aan de telefoon in een poging hen ervan te overtuigen dat ze een nieuwe toegangssleutel moeten registreren.”
Gebruikers worden vervolgens doorverwezen naar een phishing-kit die identiek is aan het aanmeldingsproces voor de Microsoft-wachtwoordsleutel, waardoor de indruk wordt gewekt dat ze een wachtwoordsleutel bij Microsoft toevoegen, terwijl in werkelijkheid de bedreigingsacteur zijn eigen wachtwoord registreert voor zijn Microsoft-account, waardoor hij ongeautoriseerde toegang krijgt.
De ontwikkeling valt samen met het feit dat Microsoft beheerders de mogelijkheid biedt registratiecampagnes te configureren om gebruikers aan te sporen wachtwoordsleutels te registreren tijdens het inloggen, in een poging organisaties te helpen de acceptatie van wachtwoordsleutels op grote schaal te stimuleren. Met andere woorden: bedreigingsactoren misbruiken het phishing-bestendige beveiligingsupgradeproces als lokmiddel om hun eigen toegangscodes in de accounts van slachtoffers te registreren en vervolgactiviteiten te vergemakkelijken.
In tegenstelling tot de Adversary-in-the-Middle (AitM)-landingspagina’s die veel voorkomen in phishing-campagnes die zijn ontworpen om inloggegevens en multi-factor authenticatie-tokens (MFA) te stelen, is de phishing-kit die bij deze aanvallen wordt gebruikt een door een operator bestuurd PHP-paneel waarin een slachtoffer vrijwel in realtime door het wachtwoordinschrijvingsproces wordt geleid.
“De operator kan de kit gebruiken om de gebruikerservaring aan te passen aan de MFA-vereisten van elk slachtoffer (TOTP, pushmelding met nummermatching, SMS OTP) tijdens de sessie”, aldus het identiteitsbeveiligingsbedrijf. “De beller kan in realtime controleren en aanpassen welke phishingpagina’s en meldingen een beoogde gebruiker te zien krijgt.”
Er wordt vermoed dat de bedreigingsacteur de kit gebruikt om het slachtofferaccount over te nemen en de gebruiker te misleiden zodat hij een door de aanvaller geïnitieerde registratie van een toegangssleutel goedkeurt. Er zijn in dit stadium geen aanwijzingen dat de kit gebruikers doorstuurt naar externe identiteitsproviders zoals Okta.
De volledige reeks acties staat hieronder –
- Op de eerste pagina van de phishing-kit (/gate) wordt een paginalaadpictogram weergegeven, terwijl de phishing-kit op de achtergrond anti-analysecontroles uitvoert.
- De tweede pagina (/identify) vraagt om een gebruikersnaam.
- Op de volgende pagina (/wachtwoord) wordt de gebruiker om een wachtwoord gevraagd.
- De verzamelde inloggegevens worden in een POST-verzoek verzonden naar een operatorpaneel op “/backend.php.”
- De exploitant van de phishingkit (waarschijnlijk anders dan de persoon die het slachtoffer belt) voert de gestolen inloggegevens in op de legitieme Microsoft-inlogpagina voor de beoogde tenant.
- Het slachtoffer ziet een “/processing”-pagina die een ander laadscherm dient terwijl het wacht op de instructies van de operator op basis van de waargenomen MFA-uitdagingen die hen in de legitieme stroom worden gepresenteerd.
- De volgende pagina van de phishing-kit wordt aan de gebruiker gepresenteerd: “/submit-otp” voor een op SMS gebaseerde uitdaging voor eenmalig wachtwoord (OTP), “/submit-authenticator” voor een op tijd gebaseerde OTP-uitdaging, of “/approve-authenticator” voor een push MFA-uitdaging.
- De vastgelegde OTP wordt verzonden in een POST-verzoek naar “/backend.php.”
Op dit moment is het slachtoffer via de telefoon misleid om de toegang van de aanvaller tot zijn Microsoft 365-account goed te keuren. De aanvalsketen initieert vervolgens een nieuwe reeks acties gericht op het voorwendsel van de sleutel:
- Het slachtoffer wordt doorgestuurd naar de pagina “/passkey/register”, waar de gebruiker wordt gevraagd een wachtwoord aan te maken.
- Op de pagina “/passkey” van Microsoft wordt de gebruiker gevraagd zijn herstelsleutel op te slaan om zijn wachtwoord te bevestigen.
- Op de pagina “/passkey/check” wordt de gebruiker gevraagd het laatste woord dat in de beginzin wordt gebruikt, te verifiëren.
- De pagina “/done” bevestigt dat de registratie van de toegangssleutel succesvol was.
De herstelsleutel bevat een reeks van twaalf woorden die lijken op een geheime herstelzin of geheugensteun die doorgaans wordt geassocieerd met portemonnees voor cryptocurrency. De stap wordt gezien als een afleidingsmechanisme om het slachtoffer bezig te houden met de taak, terwijl hij of zij zijn eigen wachtwoord in het Microsoft-account heeft geregistreerd.
“De phishing-kit lijkt te profiteren van een gebrek aan bekendheid van gebruikers met wachtwoordauthenticatie”, legt Okta uit. “Bij een echte wachtwoordregistratieceremonie zou de gebruiker kunnen verwachten dat een systeemdialoogvenster een wachtwoordsleutel op zijn apparaat registreert. De wachtwoordpagina’s in deze phishing-kit lijken dit proces na te bootsen zonder een wachtwoord te registreren.”
Okta merkte op dat een aan O-UNC-066 gekoppelde bedreigingsacteur sinds april 2026 een dataleksite exploiteert onder de naam Pink. Palo Alto Networks Unit 42 volgt dit cluster als CL-CRI-1147 en beschrijft het als verbonden met een gedecentraliseerd cybercriminaliteitscollectief bekend als The Com, waarvan Scattered Spider, ShinyHunters en LAPSUS$ deel uitmaken.