ARToken-Toolkit: Neues Phishing-Werkzeug stiehlt Microsoft-365-Tokens
Veröffentlicht: 06.07.2026 um 13:58 Uhr, Redaktion boerse-global.de
Es missbraucht den Authentifizierungsprozess der Microsoft Identity Platform.
Das als ARToken bezeichnete Werkzeug stiehlt Zugriffstoken für Microsoft-365-Konten – und das ganz ohne Passworteingabe des Opfers.
Wie der Angriff funktioniert
Die Methode nutzt den sogenannten Device Code Flow von Microsoft aus. Dieser Prozess ist eigentlich dafür gedacht, Geräte ohne komfortable Eingabemöglichkeit – wie Smart-TVs oder IoT-Hardware – mit einem Unternehmenskonto zu verbinden.
ARToken automatisiert diesen Vorgang für betrügerische Zwecke. Laut Berichten von Kaspersky Securelist und Cisco Talos verfügt die Software über mehr als 80 Funktionen. Dazu gehören der automatisierte Zugriff auf Mailboxen, das Herunterladen von Dateien aus SharePoint und OneDrive sowie die Eskalation von Berechtigungen.
Das Tückische: Herkömmliche URL-Prüfungen greifen oft nicht, weil die Interaktion über legitime Microsoft-Identitätsdienste läuft.
Infrastruktur mit 2.000 Phishing-Seiten
Die Kampagnen zielen primär auf Mitarbeiter in den Bereichen Finanzen, Personalwesen und Logistik ab. Durch den Diebstahl von Zugriffstoken umgehen Angreifer in vielen Fällen auch die Multi-Faktor-Authentifizierung (MFA). Das gestohlene Token signalisiert schließlich eine erfolgreiche Verifizierung.
Moderne Phishing-Angriffe zielen zunehmend auf die psychologischen Schwachstellen der Mitarbeiter ab, um selbst technische Hürden wie die Multi-Faktor-Authentifizierung zu umgehen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man sie effektiv entlarvt. Diese 7 psychologischen Schwachstellen jetzt entdecken
Experten raten: Prüft unerwartete Aufforderungen zur Eingabe von Geräte-Codes kritisch. Schränkt den Device Code Flow in den Azure-Einstellungen ein, wenn ihr ihn nicht zwingend benötigt.
Parallel: Klassischer Support-Betrug und Sicherheitslücken
Parallel zu den technologisch fortgeschrittenen Token-Angriffen nehmen klassische Betrugsmaschen zu. Am 4. Juli verlor ein 74-jähriger Mann aus Heringsdorf 25.000 Euro an einen falschen Microsoft-Mitarbeiter.
Die Masche folgte bekanntem Muster: Nach einer vermeintlichen Fehlermeldung auf einem blauen Bildschirm gewährte das Opfer dem Betrüger Fernzugriff. Daraufhin tätigte dieser unautorisierte Überweisungen. Die Polizei warnt eindringlich davor, Unbekannten Zugriff auf Endgeräte zu gewähren.
Zusätzlich steigt der Druck auf IT-Administratoren durch kritische Software-Schwachstellen. Die US-Cybersicherheitsbehörde CISA mahnte die Schließung einer Sicherheitslücke in Microsoft SharePoint (CVE-2026-45659) an. Die Frist für Patches lief am 4. Juli ab. Die Schwachstelle (CVSS-Risikobewertung 8.8) ermöglicht authentifizierten Angreifern das Ausführen von Schadcode.
KI-Agent verschlüsselt Produktionsdatenbanken
Die Bedrohungslage verschärft sich weiter. Am heutigen Montag wurde der erste dokumentierte Ransomware-Angriff durch einen vollständig autonomen KI-Agenten namens JadePuffer bekannt. Er nutzte eine Sicherheitslücke in einer KI-Infrastrukturkomponente aus, um Produktionsdatenbanken in Cloud-Umgebungen zu verschlüsseln.
Angesichts autonomer KI-Angriffe und steigender Phishing-Quoten müssen Unternehmen ihre IT-Sicherheit ohne teure Investitionen grundlegend stärken. Erfahren Sie in diesem Gratis-E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. Gratis-E-Book zur IT-Sicherheit herunterladen
Laut FBI-Erkenntnissen stieg die Zahl KI-gestützter Phishing-Versuche im ersten Quartal 2026 bereits um 142 Prozent. Das unterstreicht die Dringlichkeit robusterer Identitätsschutz-Maßnahmen.
