Bubble.io: No-Code-Plattform wird zur Phishing-Schleuder

Sicherheitsforscher decken auf: Cyberkriminelle missbrauchen die vertrauenswürdige No-Code-Plattform Bubble.io für groß angelegte Angriffe auf Unternehmenskonten. Die Attacken zielen gezielt auf Microsoft-365-Logins ab und umgehen mühelos herkömmliche E-Mail-Sicherheitsfilter. Ein neuer Bericht zeigt die alarmierende Waffe im Arsenal der Hacker.

Die perfide Masche: Vertrauenswürdige Domains als Trojaner

Der Kern der Bedrohung liegt in einem cleveren Trick. Angreifer nutzen die legitime No-Code-Entwicklungsumgebung Bubble.io, um täuschend echte Phishing-Apps zu bauen. Diese schädlichen Anwendungen werden dann auf der vertrauenswürdigen Domain bubble.io gehostet – einer Adresse, die bei E-Mail-Anbietern und Sicherheitsgateways einen exzellenten Ruf genießt.

Angriffe über vertrauenswürdige Domains zeigen, wie raffiniert Cyberkriminelle psychologische Muster und technische Lücken ausnutzen. Dieser kostenlose Report enthüllt, warum Phishing-Kampagnen aktuell so erfolgreich sind und wie Sie Ihre Organisation wirksam schützen. 7 psychologische Todsünden: So wehren Sie sich gegen Hacker

Die Folge: Links zu diesen Phishing-Seiten passieren problemlos Secure Email Gateways (SEGs), die sonst verdächtige URLs blockieren würden. Die Köder landen so mit hoher Erfolgsquote direkt in den Postfächern der Opfer. Für den durchschnittlichen Mitarbeiter ist die gefälschte Login-Seite kaum vom echten Unternehmensportal zu unterscheiden.

„Die Angreifer leben buchstäblich von der App“, erklärt ein Analyst. Sie nutzen die Werkzeuge, die eigentlich „Citizen Developer“ befähigen sollen, und machen sie zur Waffe gegen Firmennetzwerke. Die einfache Bedienung der Plattformen und ihre hohe Zustellrate machen sie zum idealen Vehikel für groß angelegte Kampagnen.

Gezielter Diebstahl von Microsoft-365-Zugängen

Das primäre Ziel dieser Attacken ist der Raub wertvoller Unternehmenszugänge. Die gefälschten Apps imitieren täuschend echt Microsoft-365-Login-Portale. Um ihre Tarnung zu perfektionieren und automatische Sicherheits-Scanner auszutricksen, verstecken viele dieser Portale ihren bösartigen Inhalt hinter einer Cloudflare-Verifizierungsprüfung.

Diese Zwischenseite erzwingt eine menschliche Interaktion, die automatisierte Analysen oft stoppt. Gelangt ein Opfer durch diese Hürde, gibt es seine Zugangsdaten in eine perfekte Kopie des Microsoft-Anmeldebildschirms ein. Die Daten werden sofort an server der Angreifer übertragen.

Besonders heikel: Fortgeschrittene Versionen dieser Apps führen Adversary-in-the-Middle (AiTM)-Angriffe durch. Sie fangen in Echtzeit Sitzungstokens und Multi-Faktor-Authentifizierung (MFA)-Codes ab. Damit umgehen sie selbst robuste Sicherheitsschichten. Gestohlene Microsoft-365-Zugänge sind das Einfallstor für Business Email Compromise (BEC), Datendiebstahl oder Ransomware-Angriffe.

Phishing-as-a-Service senkt die Einstiegshürde

Ein besorgniserregender Trend: Die Methoden zum Missbrauch von Bubble.io werden zunehmend in das Ökosystem „Phishing-as-a-Service“ (PaaS) integriert. Die Techniken werden in gebrauchsfertige Kits verpackt, die auch technisch weniger versierte Cyberkriminelle nutzen können.

Während Hacker-Methoden immer einfacher zugänglich werden, müssen Unternehmen ihre IT-Sicherheit ohne Budget-Explosion stärken. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Abwehr aktueller Bedrohungen und zeigt branchenspezifische Gefahren auf. In 4 Schritten zur erfolgreichen Hacker-Abwehr: Jetzt Gratis-Guide sichern

Diese Kommerzialisierung senkt die Einstiegshürde radikal. PaaS-Anbieter automatisieren die Registrierung, App-Erstellung und das Hosting auf vertrauenswürdigen Domains. Die „Time-to-Exploit“ für Angreifer sinkt, während ein steter Strom neuer, ungeflaggter Phishing-Infrastruktur entsteht. Experten warnen vor einer explosionsartigen Zunahme des Angriffsaufkommens.

Systemisches Problem der Low-Code-Branche

Der Missbrauch von App-Buildern ist kein Einzelfall, sondern Teil eines größeren Trends. Erst im Januar 2026 wurde eine kritische Schwachstelle (CVE-2026-22794) in der Plattform Appsmith bekannt, die Kontenübernahmen ermöglichte. Die Branche für Low-Code/No-Code (LCNC) steht vor einer systemischen Sicherheitsherausforderung.

Die rasante Adoption dieser Tools für die digitale Transformation hat die Implementierung notwendiger Sicherheitskontrollen oft überholt. In vielen Unternehmen können „Citizen Developer“ Apps ohne die strenge Sicherheitsprüfung des professionellen Software-Engineerings erstellen und bereitstellen. Dieser Mangel an Governance schafft fruchtbaren Boden für Angreifer.

Ausblick: Der Wettlauf zwischen Angriff und Abwehr

Experten rechnen damit, dass sich der Kampf um die Sicherheit von App-Buildern 2026 weiter verschärft. Angreifer werden voraussichtlich andere populäre Low-Code-Plattformen ins Visier nehmen. Die integrierte Generative KI könnte genutzt werden, um noch überzeugendere und personalisierte Phishing-Köder in globalem Maßstab zu erstellen.

Gegenmaßnahmen müssen über einfache URL-Filterung hinausgehen. Unternehmen sollten auf phishing-resistente MFA wie Hardware-Sicherheitsschlüssel setzen und ihre Security-Awareness-Trainings aktualisieren. Die Botschaft: Eine „vertrauenswürdige Domain“ garantiert nicht die Sicherheit des dort gehosteten Inhalts.

Plattformbetreiber stehen in der Pflicht, granularere Kontrollen und Verhaltensanalysen einzuführen, um die Erstellung bösartiger Strukturen zu erkennen. Das Ziel ist es, betrügerische Apps zu löschen, bevor sie in Kampagnen eingesetzt werden. Der aktuelle Bericht zeigt jedoch: Das Katz-und-Maus-Spiel zwischen Entwicklern und Angreifern bleibt eine zentrale Herausforderung der Cybersicherheit.

boerse | 68999842 |