Nyhet

Ovanligt nätfiskepaket återkommer – attacker anpassas i realtid

Ett relativt sällsynt men tekniskt avancerat nätfiskepaket, kallat Saiga 2FA, har återigen identifierats i nya attacker. En ny analys visar hur verktyget kan kringgå multifaktorautentisering genom dynamiska och svårupptäckta metoder – och varför organisationer behöver stärka skyddet mot moderna nätfiskeangrepp.

Barracuda Research har upptäckt nya vågor av attacker kopplade till Saiga 2FA. Det rör sig om ett så kallat adversary‑in‑the‑middle‑verktyg (AitM) som används för att kringgå multifaktorautentisering (MFA) och stjäla sessionscookies från företagsanvändares e‑post. Kampanjerna genomförs i begränsad omfattning, men är samtidigt utformade för att vara svåra att upptäcka och analysera.

– Saiga tillhör en kategori avancerade nätfiskepaket som fungerar mer som en skräddarsydd tjänst än som en helt automatiserad plattform. De erbjuder en uppsättning inställningar som kan justeras i realtid under ett pågående angrepp, säger Saravanan Mohankumar på Barracudas team för hotanalys.

Flera steg för att lura användaren
Angreppen följer i stora drag samma mönster som andra nätfiskekampanjer. Offren lockas via mejl som utger sig för att komma från välkända varumärken och som innehåller länkar eller QR‑koder. Därefter leds användaren genom flera steg innan den slutliga falska inloggningssidan visas.

För att försvåra upptäckt använder Saiga 2FA flera lager av tekniska metoder. Ett exempel är att verktyget kan känna av när webbläsarens utvecklarverktyg öppnas, vilket ofta sker vid säkerhetsanalys. Då omdirigeras användaren omedelbart till en ofarlig sida, exempelvis en Google‑sökning.

Angriparverktyg på applikationsnivå
Till skillnad från enklare phishing‑as‑a‑service‑lösningar levererar Saiga 2FA sina nätfiskesidor som en fullvärdig webbapplikation. Innehållet genereras dynamiskt med hjälp av JavaScript, vilket gör det betydligt svårare för vanliga säkerhetsskannrar att upptäcka något misstänkt genom att enbart granska sidans källkod.

Varje angrepp styrs dessutom av en inbyggd konfigurationsfil i webbapplikationen som avgör hur den aktuella phishing‑sessionen ska fungera, exempelvis genom att byta tema eller anpassa flödet efter behov.

Text på latin för att undvika identifiering
Webbsidorna som används av Saiga innehåller latinsk ”lorem ipsum”-text i metadatafälten. Texten saknar meningsfullt innehåll och ger inga ledtrådar om sidans syfte. Det bidrar till att undvika att trigga skyddssystem som bygger på nyckelord, språkanalys eller igenkänning av varumärkesnamn.

Verktyget innehåller även en integrerad funktion för att söka igenom och analysera innehåll i kapade inkorgar. Informationen kan därefter återanvändas i nya attacker. För att hantera kampanjerna finns ett webbaserat kontrollgränssnitt som möjliggör domänhantering, loggning, automatisering samt avancerad trafikfiltrering och villkorsstyrd laddning av innehåll. Denna grad av central kontroll skiljer Saiga från enklare nätfiskeverktyg som ofta förlitar sig på exempelvis Telegram‑baserad loggning.

– För att skydda sig mot den här typen av angrepp bör organisationer införa autentiseringsmetoder som är motståndskraftiga mot nätfiske, till exempel FIDO2 eller WebAuthn. Det är också viktigt att tillämpa strikt verifiering av webbadresser, övervaka avvikande inloggningsbeteenden och arbeta med ett säkerhetsskydd i flera lager, avslutar Saravanan Mohankumar.

Läs mer här»

Relaterade länkar

Ämnen

Kategorier

Kontakter

Relaterad media

Ladda ner bilder för medieanvändning

Relaterat innehåll

  • Identitetsangrepp vanligaste cyberhotet – avvikande inloggningar toppar säkerhetslarmen

    En ny rapport från Barracuda visar att attacker mot användaridentiteter är den vanligaste typen av hot som upptäcks. Inloggningar som är fysiskt omöjliga och avviker från användarens normala beteende är en av de tydligaste varningssignalerna på ett pågående intrång. Försöker en medarbetare logga in från Malmö och Hanoi nästan samtidigt är det något som måste utredas direkt.

  • Mycket hög risk att drabbas av utpressning för företag som agerar sent på e-postintrång

    En ny undersökning från Barracuda Networks visar att företag som tar mer än nio timmar på sig att hantera ett säkerhetsintrång via e-post löper 79 procent risk att bli offer för ransomware. I rapporten Email Security Breach Report 2025 framkommer också att hela 87 procent av nordiska företag (Sverige, Danmark, Norge och Finland) haft ett e-postintrång under de senaste 12 månaderna.

    Företag som är långsamma att åtgärda säkerhetsintrång via e-post löper stor risk att drabbas av ransomware.

  • Antalet nätfiskepaket fördubblades under 2025 – hoten blir mer sofistikerade

    Antalet kända phishing-as-a-service-kit (PhaaS) fördubblades under 2025, vilket ökar pressen på säkerhetsteam som försöker skydda sig mot alltmer avancerade attacker. Det visar Barracudas årliga granskning av nätfiske för 2025. Nya nätfiskepaket som Whisper 2FA och GhostFrame introducerade innovativa och svårupptäckta metoder, bland annat tekniker som försvårar analys av skadlig kod.

    Antalet kända phishing-as-a-service-kit (PhaaS) fördubblades under 2025, vilket ökar pressen på säkerhetsteam.

  • Nätfisket allt mer komplext – var redo inför 2026

    Under 2025 tog nätfiskeangreppen ytterligare ett kliv i komplexitet, drivna av AI, mer lättillgängliga phishing-tjänster och allt skickligare metoder för att kringgå upptäckt. I denna framtidsspaning presenterar Barracudas Threat Analysis Team sin bild av hur hotlandskapet kan utvecklas under det kommande året – och vad säkerhetsansvariga behöver tänka på när angreppen fortsätter att förfinas.

    I denna framtidsspaning presenterar Barracudas Threat Analysis Team sin bild av hur nätfiskemetoderna kommer att utvecklas.
Fyll i din epostadress för att följa Barracuda Networks på Mynewsdesk

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av Mynewsdesk och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs Mynewsdesks Integritetspolicy som berör vår behandling av dina personuppgifter, och Mynewsdesks Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att Mynewsdesks Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Barracuda Networks.

Okej