Gå direkt till innehåll

Nyhet

Legitim Microsoft-inloggning utnyttjas i nätfiskekampanj

Angripare använder riktiga Microsoft‑inloggningar, döljer nätfiskelänkar i PDF‑bilagor och använder olika metoder för att kringgå säkerhetskontroller i e‑postmiljöer. Det framgår av Barracuda Networks senaste Email Threat Radar-rapport som beskriver flera aktuella attacker mot organisationer och deras medarbetare.

En av de attacker som beskrivs innebär att angripare använder Tycoon 2FA, en plattform för nätfiske som tjänst, och en legitim Microsoft‑inloggningssida i stället för en falsk kopia. Syftet är att få användaren att logga in och därigenom fånga upp sessionstoken och behörigheter, vilket kan ge åtkomst till mejl, filer och Microsoft 365‑tjänster.

Attacken inleds med ett mejl som varnar för att inkorgen är nära att bli full. Meddelandet innehåller en kalenderinbjudan till ett påstått möte med Microsofts säkerhetsteam samt en knapp för att frigöra kvarhållna mejl.

Knappen leder till en Microsoft‑inloggning som är äkta, men som nås via angriparnas egen registrerade applikation i Tycoon 2FA‑plattformen. När användaren loggar in fångas sessions-ID upp. I nästa steg uppmanas användaren att ange sina uppgifter på en falsk sida, vilket gör att angriparna också kan få tillgång till lösenordet.

Länkar döljs i PDF‑bilagor
Rapporten beskriver även attacker där misstänkta länkar har flyttats från mejlets brödtext till en PDF‑bilaga.

I den analyserade kampanjen uppmanas mottagaren att öppna en bilaga som rör exempelvis regelefterlevnad eller betalningar. Länken i dokumentet leder till en autentiseringsprocess som liknar en legitim inloggning och samlar in användaruppgifter och e‑postadress.

I dessa fall genereras enhetskoder lokalt i webbläsaren i stället för att använda riktiga Microsoft‑API:er. Det efterliknar den process som används för att koppla enheter till Microsoft‑konton. Bedrägerikampanjen använder även CAPTCHA samt nätfiskesidor som upphör att fungera efter en viss tid.

Knapp med två olika utfall i samma mejl
En annan attack använder en så kallad ”split-click”-teknik, där en och samma knapp får olika funktion beroende på var användaren klickar.

I det observerade fallet leder ett klick på den övre delen av knappen till en legitim Microsoft‑sida, medan den nedre delen leder vidare till en nätfiskesida via en så kallad blob‑URL som genereras i webbläsaren.

Nätfiske används också för att sprida skadlig kod
Enligt rapporten används nätfiske i vissa fall även för att leverera skadlig kod, utöver att samla in inloggningsuppgifter.

Bland exemplen som lyfts fram finns:

  • filer som framstår som ofarliga PDF‑dokument men som i själva verket innehåller ett JavaScript där skriptet döljer sin skadliga kod i det falska dokumentet med hjälp av steganografi och tekniker för att maskera koden
  • kampanjer där angripare utger sig för att vara en myndighet och distribuerar skript som hämtar ytterligare kod och kör den i minnet med hjälp av Windows‑komponenter
  • attacker i flera steg där användaren leds via flera sidor, till exempel från en HTML‑fil till en falsk OneDrive och vidare till en inloggningssida

Rekommendationer från Barracuda
I rapporten lyfter Barracuda fram följande åtgärder:

  • skydda identiteter och sessions-ID, inte enbart lösenord
  • utöka förmågan att upptäcka hot till att omfatta kalenderinbjudningar, bilagor och inloggningsflöden
  • använd beteendebaserad detektion
  • investera i skydd för bilagor och klienter
  • möjliggör snabb incidentrespons
  • uppdatera utbildningar så att de speglar aktuella nätfiskemetoder

Rapporten bygger på analyser från Barracuda Research.

Läs mer här»

Relaterade länkar

Ämnen

Kategorier

Kontakter

  • Email Threat Radar - juni 2026.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    6000 x 4004, 2,3 MB
    Ladda ner
  • Email Threats Report 2026.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    6000 x 4004, 2,03 MB
    Ladda ner
  • Barracuda, Threat Spotlight mars 2026.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    6570 x 4484, 3,03 MB
    Ladda ner
  • Barracuda Threat Radar, maj 2026.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    5100 x 3400, 952 KB
    Ladda ner

Relaterat innehåll

  • Identitetsangrepp vanligaste cyberhotet – avvikande inloggningar toppar säkerhetslarmen

    En ny rapport från Barracuda visar att attacker mot användaridentiteter är den vanligaste typen av hot som upptäcks. Inloggningar som är fysiskt omöjliga och avviker från användarens normala beteende är en av de tydligaste varningssignalerna på ett pågående intrång. Försöker en medarbetare logga in från Malmö och Hanoi nästan samtidigt är det något som måste utredas direkt.

  • Mycket hög risk att drabbas av utpressning för företag som agerar sent på e-postintrång

    En ny undersökning från Barracuda Networks visar att företag som tar mer än nio timmar på sig att hantera ett säkerhetsintrång via e-post löper 79 procent risk att bli offer för ransomware. I rapporten Email Security Breach Report 2025 framkommer också att hela 87 procent av nordiska företag (Sverige, Danmark, Norge och Finland) haft ett e-postintrång under de senaste 12 månaderna.

    Företag som är långsamma att åtgärda säkerhetsintrång via e-post löper stor risk att drabbas av ransomware.
  • AI-drivna e-postattacker kan gå från första klick till varaktigt intrång på fem minuter

    Nya studier från Barracuda Research visar hur snabbt moderna e‑postattacker kan utvecklas till fullskaliga säkerhetsincidenter. I en kontrollerad simulering genomförd av Barracudas Red Team ledde ett enda nätfiskemejl till identitetsstöld, kringgående av multifaktorautentisering (MFA), varaktig åtkomst och kompromettering av en enhet. Allt på bara fem minuter.

  • AI och färdiga tjänster för nätfiske ökar antalet mejlattacker

    Vart tredje mejl är i dag oönskat eller skadligt. Samtidigt ökar angripare sina attacker med hjälp av AI och färdiga nätfisketjänster (PhaaS). Rapporten visar att 90 procent av omfattande nätfiskekampanjer använder ”phishing-as-a-service”. Det framkommer i en ny rapport från Barracuda som omfattar analys av 3,1 miljarder e-postmeddelanden.

  • Tycoon 2FA dog inte – det finns utspritt överallt

    Efter ett internationellt tillslag i början av mars minskade antalet Tycoon 2FA-kopplade phishing‑attacker med 77 procent. Men nu visar en ny analys från Barracuda hur andra aktörer snabbt tog över Tycoons marknadsandelar, omfördelade och vidareutvecklade dess verktyg, tekniker och kapacitet – och hur vissa delar, inklusive mindre kampanjer, inte förändrades alls.

  • Ovanligt nätfiskepaket återkommer – attacker anpassas i realtid

    Ett relativt sällsynt men tekniskt avancerat nätfiskepaket, kallat Saiga 2FA, har återigen identifierats i nya attacker. En ny analys visar hur verktyget kan kringgå multifaktorautentisering genom dynamiska och svårupptäckta metoder – och varför organisationer behöver stärka skyddet mot moderna nätfiskeangrepp.