Barracuda Managed XDR signaleert in zijn nieuwste SOC Threat Radar drie aanvalstechnieken die steeds vaker opduiken in recente incidenten: Microsoft 365-inlogpogingen die opgaan in legitiem verkeer, een nep-installer voor de AI-tool Claude en malware die via het klembord opereert. De bevindingen zijn gebaseerd op incidenten die het bedrijf naar eigen zeggen heeft geneutraliseerd. Barracuda stelt dat aanvallers zich steeds vaker verstoppen tussen normaal netwerkverkeer in plaats van sporen achter te laten.
Barracuda Managed XDR brengt maandelijks een SOC Threat Radar uit, een overzicht van dreigingen die het Security Operations Center heeft waargenomen. In de editie van mei 2026 staan drie technieken centraal die traditionele securitytools volgens het bedrijf slecht detecteren.
Inlogpogingen die opgaan in normaal verkeer
Een eerste techniek betreft aanvallers die inloggen op Microsoft 365-accounts via IP-adressen uit landen met een laag risicoprofiel, zoals de VS en het VK. Barracuda meldt dat het daarvoor gebruik wordt gemaakt van VPN-diensten of snelle IP-wisseling, waardoor de inlogpogingen niet opvallen tussen regulier medewerkerverkeer. Omdat het gaat om succesvolle aanmeldingen en niet om herhaalde mislukte pogingen, detecteren conventionele securitytools deze activiteit nauwelijks, aldus het bedrijf. In april registreerde Barracuda een stijging van ongeveer 25% in dit type schadelijke inlogpogingen vanuit lage-risicolanden.
Het bedrijf adviseert alle inlogpogingen te monitoren, ongeacht herkomst of resultaat, en afwijkend gedrag na een succesvolle login — zoals een nieuw apparaat of ongebruikelijk tijdstip — direct te controleren. Multi-factor authenticatie (MFA) zou overal afgedwongen moeten worden.
Nep-installer voor Claude verspreidt malware
Een tweede incident betreft een gebruiker die ‘Claude Code’ probeerde te downloaden en werd omgeleid naar een nagebouwde website. In plaats van de AI-tool te installeren, startte de site een gelaagde aanval: een PowerShell-script werd uitgevoerd, in de browser opgeslagen inloggegevens werden gestolen en er werden certificaten geïnstalleerd om verwijdering te bemoeilijken. Barracuda geeft aan dat de aanval binnen enkele seconden werd ingedamd, maar dat de aanvallers in die tijd al credentials hadden buitgemaakt en persistentie hadden ingericht.
Voor IT-dienstverleners betekent dit dat downloadpolicies moeten verwijzen naar officiële leverancierspagina’s, dat installatierechten op bedrijfsapparaten beperkt moeten zijn en dat endpointsecurity gedragsgebaseerde detectie gebruikt in plaats van uitsluitend te vertrouwen op bekende signaturen.
Malware via het klembord omzeilt bestandsscans
De derde techniek maakt gebruik van het klembord van het besturingssysteem. Barracuda beschrijft malware die schadelijke code in het klembord laadt en die via PowerShell rechtstreeks in het geheugen uitvoert, zonder dat er een bestand op schijf wordt weggeschreven. Basale antivirusscans detecteren dit type aanval daardoor niet. De malware legde contact met een command-and-control-server, haalde een payload op, kopieerde die naar het klembord en voerde de code lokaal uit. Pas nadat de serververbinding een alert activeerde, kon het SOC-team ingrijpen.
Barracuda adviseert om procesgedrag en PowerShell-activiteit actief te monitoren, PowerShell-rechten te beperken tot medewerkers die dit nodig hebben en apparaten automatisch in quarantaine te plaatsen bij verdachte netwerkactiviteit.
Gedragsdetectie centraal
Het SOC-team van Barracuda stelt dat de drie technieken een bredere trend weerspiegelen: aanvallers laten minder herkenbare sporen achter en verbergen zich in normaal netwerkverkeer of misbruiken de interesse in AI-tools. Volgens het bedrijf zijn snelheid en gedragsgebaseerde endpointdetectie de voornaamste middelen om deze dreigingen tijdig te onderscheppen.
