Muck Stealer-malware gebruikt naast phishing in nieuwe aanvalsgolven

Uit een nieuw rapport van Cofense blijkt dat cybercriminelen phishing en malware, waaronder Muck Stealer, Info Stealer, ConnectWise RAT en SimpleHelp RAT, combineren in dubbele aanvallen. Hierdoor wordt het moeilijker om ze te verdedigen.

Volgens cybersecurityonderzoekers van Cofense, een cybersecurity-informatiebureau, zijn cybercriminelen begonnen met het combineren van phishing met inloggegevens en malware. Deze dubbele aanpak maakt het voor bedrijven veel moeilijker om zich te verdedigen tegen één enkele aanval.

Een e-mail werd bijvoorbeeld ooit beschouwd als een poging tot phishing van inloggegevens of als schadelijke software. Nu gebruiken criminelen echter een nieuwe strategie. Door beide methoden te combineren, kunnen ze succesvol zijn, zelfs als een bedrijf veel heeft geïnvesteerd in de ene of de andere beschermingsmethode.

Uit het rapport bleek dat aanvallers verschillende methoden gebruiken om deze gecombineerde aanvallen uit te voeren. In één campagne uit december 2024 gebruikten aanvallers eerst een kwaadaardige downloader die Muck Stealer-malware op de computer van een slachtoffer installeerde. De malware opende vervolgens een nep-inlogpagina om aanvullende informatie te verzamelen. Volgens de onderzoekers diende dit HTML-bestand ook als een "methode om de activiteiten van Muck Stealer te verhullen".

In een andere campagne uit januari 2025 werd de aanpak omgedraaid. Slachtoffers werden eerst doorverwezen naar een phishingpagina voor inloggegevens, waar ze werden gevraagd hun inloggegevens in te voeren. Zodra ze hun gegevens hadden ingevoerd, werd een aangepaste Information Stealer gedownload en op hun computer geïnstalleerd. Onderzoekers merkten op dat criminelen opzettelijk "de Microsoft Office-inloggegevens van slachtoffers verdubbelden en zich heel specifiek op hen richtten."

Een campagne die Muck Stealer en een HTML-bestand voor phishing van inloggegevens levert, en een campagne die phishing van inloggegevens en een aangepaste Information Stealer levert (Bron: Cofense Intelligence)

In een andere opvallende campagne werden hackers gezien die de Amerikaanse Social Security Agency nabootsten. Deze e-mails met betrekking tot uitkeringen bevatten een ingebedde link die, wanneer erop werd geklikt, eerst ConnectWise RAT downloadde en het slachtoffer vervolgens naar een uitgebreide phishingpagina met inloggegevens leidde. Deze pagina verzamelde vervolgens specifieke persoonlijke gegevens die de malware niet kon achterhalen, waaronder het burgerservicenummer van het slachtoffer, de meisjesnaam van de moeder en de pincode van de telefoonprovider.

Het rapport beschreef ook een interessante campagne uit juli 2025, waarbij de malware-payload werd aangepast afhankelijk van het apparaat van het slachtoffer. Zo leidde een link vanaf een Windows-computer naar een neppagina in de Microsoft Store die SimpleHelp RAT downloadde (een type software waarmee een aanvaller de computer kan besturen), terwijl dezelfde link op een Android-telefoon een ander type malware opleverde dat specifiek voor dat systeem was ontworpen.

Een gemeenschappelijke schakel in veel van deze campagnes is de implementatie van ConnectWise RAT. Het rapport , dat werd gedeeld met Hackread.com, concludeert dat het gebruik van meerdere aanvalsmethoden criminelen in staat stelt meer informatie te verzamelen en de beveiliging te omzeilen die is ontworpen om slechts één type bedreiging te onderscheppen. Dit markeert een opmerkelijke verandering in de manier waarop cybercriminelen te werk gaan.