Microsoft heeft beschreven a large-scale phishing campaign dat meerfasige technieken werden gebruikt om gebruikerssessies te compromitteren en multi-factor authenticatie te omzeilen, wat een groeiende verschuiving naar token-gebaseerde aanvallen benadrukt.
Volgens het dreigingsintelligentieteam van Microsoft richtte de campagne zich binnen een kort tijdsbestek tussen 14 en 16 april 2026 op meer dan 35.000 gebruikers verspreid over meer dan 13.000 organisaties in 26 landen. De meerderheid van de doelwitten bevond zich in de Verenigde Staten, met sectoren zoals gezondheidszorg, financiën en technologie zwaar getroffen.
De aanval maakte gebruik van een “gedragscode”-lokmiddel, waarbij slachtoffers phishing-e-mails ontvingen waarin ze werden gevraagd om werkplekbeleid te herzien of te erkennen. Deze berichten waren ontworpen om legitiem te lijken en werden in meerdere golven verspreid om de effectiviteit te vergroten.
Zodra een doelwit was aangevallen, verliep de operatie in verschillende fasen. Slachtoffers werden via een keten van kwaadaardige infrastructuur doorgestuurd voordat ze uiteindelijk op een phishingpagina terechtkwamen die bedoeld was om inloggegevens te verzamelen. De campagne stopte echter niet bij wachtwoorddiefstal. In plaats daarvan gebruikten aanvallers anversary-in-the-middle-technieken om authenticatiegegevens in realtime te onderscheppen.
Deze methode stelde dreigingsactoren in staat om sessietokens te verkrijgen, waardoor accounttoegang mogelijk werd zonder opnieuw inloggegevens nodig te hebben. Dergelijke tokendiefstal is bijzonder belangrijk omdat het multi-factor authenticatiebeveiligingen kan omzeilen, die doorgaans zijn ontworpen om ongeautoriseerde inlogs te voorkomen.
Microsoft merkte op dat de campagne reverse proxy-infrastructuur gebruikte om tussen gebruikers en legitieme inlogdiensten te zitten. Deze opstelling stelde aanvallers in staat om authenticatiecookies te verzamelen en blijvende toegang te behouden, zelfs na de eerste compromittering.
Het meerfasige ontwerp omvatte ook ontwijkingstactieken. Aanvalsinfrastructuur past zich dynamisch aan gebruikersinteracties en omgevingscontroles aan, waardoor de kans op detectie door beveiligingstools wordt verminderd. In sommige gevallen werd phishing-inhoud selectief weergegeven op basis van de doelvoorwaarden, waardoor de blootstelling aan onderzoekers en geautomatiseerde verdedigingen werd beperkt.
Onderzoekers benadrukten dat de campagne zich niet op één enkele industrie richtte, maar zich op een breed scala aan organisaties richtte. Deze brede aanpak weerspiegelt een verschuiving naar schaalbare phishingoperaties die volume en automatisering belangrijker vinden dan zeer gerichte aanvallen.
De bevindingen benadrukken een bredere trend in cyberdreigingen. Aanvallers gaan steeds verder dan het stelen van inloggegevens en richten zich op sessiekaping en identiteitsgebaseerde aanvallen. In deze scenario’s zijn traditionele verdedigingsmaatregelen zoals wachtwoordresets mogelijk niet voldoende, omdat gestolen tokens toegang kunnen blijven bieden als ze niet worden ingetrokken.
Microsoft adviseert organisaties om identiteitsbeschermingsmaatregelen te versterken, waaronder het monitoren van verdachte sessieactiviteiten, het implementeren van voorwaarden voor toegang en het zorgen voor snelle tokenintrekking als reactie op mogelijke compromittering.
De campagne laat zien hoe phishingoperaties zich blijven ontwikkelen, waarbij social engineering wordt gecombineerd met geavanceerde infrastructuur om gevestigde beveiligingsmaatregelen te omzeilen en langdurige toegang tot gecompromitteerde accounts te behouden.