Een nieuw phishing-automatiseringsplatform met de naam Quantum Route Redirect (QRR) gebruikt circa 1.000 domeinen om wereldwijd inloggegevens van Microsoft 365-gebruikers te stelen.
Microsoft 365-gebruikers
Volgens analisten van KnowBe4 zijn de aanvallen sinds augustus in het wild waargenomen, met een breed geografisch bereik – al is bijna driekwart (rond 76 procent) gericht op gebruikers in de VS. Het platform is ontworpen als kant-en-klaar phishing-kit waarmee ook minder technisch onderlegde bedreigingsactoren maximale resultaten kunnen behalen met minimale inspanning.
Quantum Route Redirect
De aanval start vaak met een kwaadaardige e-mail die lijkt afkomstig van een betrouwbare dienst: een DocuSign-verzoek, een betalingsbericht, een voicemail-melding of een QR-code (quishing). Vervolgens leidt de ontvanger door naar een credential- harvesting-pagina, beheerd via het QRR-platform. Analyse toont aan dat de gebruikte URL’s volgens het patroon
`/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/` lopen en meestal gehost zijn op geparkeerde of gecompromitteerde domeinen. Een ingebouwde bot-filtering maakt onderscheid tussen menselijke bezoekers en geautomatiseerde systemen: mensen worden doorgestuurd naar de phishing-pagina, bots of beveiligingstools naar een schijnbaar veilige site.
Gevolgen & verwachting
QRR bestrijkt inmiddels zo’n 90 landen, al ligt de grootste impact in de VS. Door de automatische verkeersomleiding en subtiele hosting op schijnbaar legitieme domeinen is het voor traditionele beveiligingsoplossingen lastig geworden om deze phishing-campagnes in een vroeg stadium te blokkeren. De onderzoekers verwachten dat het gebruik van het platform verder zal groeien.
Aanbevolen verdedigingsmaatregelen
Om deze dreiging het hoofd te bieden, adviseert KnowBe4:
- Robuuste URL-filtering implementeren die phishing-pogingen kan identificeren, en Monitoring van accounts instellen op tekenen van compromis (zoals ongebruikelijke inlogs of directe omleidingen).
- Daarnaast geldt – zoals bij alle credential- phishing – het belang van multi-factor-authenticatie (MFA), training van gebruikers in herkenning van phishing, en regelmatige controle van verdachte inlogpogingen.
Organisaties die werken met Microsoft 365, zowel in de publieke als private sector, doen er goed aan dit nieuwe platform op hun radar te zetten en de beveiligingsmaatregelen zo snel mogelijk op te schalen.