ARToken-Toolkit, Phishing-Werkzeug

ARToken-Toolkit: Neues Phishing-Werkzeug stiehlt Microsoft-365-Tokens

Veröffentlicht: 06.07.2026 um 13:58 Uhr, Redaktion boerse-global.de

Sicherheitsforscher decken hochentwickeltes Phishing-Toolkit auf, das Microsofts Device Code Flow für Token-Diebstahl missbraucht.

ARToken-Tool: Neue Phishing-Welle gegen Microsoft-365-Konten
ARToken-Toolkit - Ein stilisiertes, leuchtendes digitales Vorhängeschloss über verschwommenen Codezeilen und Netzwerkverbindungen, das Datendiebstahl symbolisiert. 06.07.2026 - Bild: über boerse-global.de

Es missbraucht den Authentifizierungsprozess der Microsoft Identity Platform.

Das als ARToken bezeichnete Werkzeug stiehlt Zugriffstoken für Microsoft-365-Konten – und das ganz ohne Passworteingabe des Opfers.

Wie der Angriff funktioniert

Die Methode nutzt den sogenannten Device Code Flow von Microsoft aus. Dieser Prozess ist eigentlich dafür gedacht, Geräte ohne komfortable Eingabemöglichkeit – wie Smart-TVs oder IoT-Hardware – mit einem Unternehmenskonto zu verbinden.

ARToken automatisiert diesen Vorgang für betrügerische Zwecke. Laut Berichten von Kaspersky Securelist und Cisco Talos verfügt die Software über mehr als 80 Funktionen. Dazu gehören der automatisierte Zugriff auf Mailboxen, das Herunterladen von Dateien aus SharePoint und OneDrive sowie die Eskalation von Berechtigungen.

Das Tückische: Herkömmliche URL-Prüfungen greifen oft nicht, weil die Interaktion über legitime Microsoft-Identitätsdienste läuft.

Infrastruktur mit 2.000 Phishing-Seiten

Die Kampagnen zielen primär auf Mitarbeiter in den Bereichen Finanzen, Personalwesen und Logistik ab. Durch den Diebstahl von Zugriffstoken umgehen Angreifer in vielen Fällen auch die Multi-Faktor-Authentifizierung (MFA). Das gestohlene Token signalisiert schließlich eine erfolgreiche Verifizierung.

Anzeige

Moderne Phishing-Angriffe zielen zunehmend auf die psychologischen Schwachstellen der Mitarbeiter ab, um selbst technische Hürden wie die Multi-Faktor-Authentifizierung zu umgehen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man sie effektiv entlarvt. Diese 7 psychologischen Schwachstellen jetzt entdecken

Experten raten: Prüft unerwartete Aufforderungen zur Eingabe von Geräte-Codes kritisch. Schränkt den Device Code Flow in den Azure-Einstellungen ein, wenn ihr ihn nicht zwingend benötigt.

Parallel: Klassischer Support-Betrug und Sicherheitslücken

Parallel zu den technologisch fortgeschrittenen Token-Angriffen nehmen klassische Betrugsmaschen zu. Am 4. Juli verlor ein 74-jähriger Mann aus Heringsdorf 25.000 Euro an einen falschen Microsoft-Mitarbeiter.

Die Masche folgte bekanntem Muster: Nach einer vermeintlichen Fehlermeldung auf einem blauen Bildschirm gewährte das Opfer dem Betrüger Fernzugriff. Daraufhin tätigte dieser unautorisierte Überweisungen. Die Polizei warnt eindringlich davor, Unbekannten Zugriff auf Endgeräte zu gewähren.

Zusätzlich steigt der Druck auf IT-Administratoren durch kritische Software-Schwachstellen. Die US-Cybersicherheitsbehörde CISA mahnte die Schließung einer Sicherheitslücke in Microsoft SharePoint (CVE-2026-45659) an. Die Frist für Patches lief am 4. Juli ab. Die Schwachstelle (CVSS-Risikobewertung 8.8) ermöglicht authentifizierten Angreifern das Ausführen von Schadcode.

KI-Agent verschlüsselt Produktionsdatenbanken

Die Bedrohungslage verschärft sich weiter. Am heutigen Montag wurde der erste dokumentierte Ransomware-Angriff durch einen vollständig autonomen KI-Agenten namens JadePuffer bekannt. Er nutzte eine Sicherheitslücke in einer KI-Infrastrukturkomponente aus, um Produktionsdatenbanken in Cloud-Umgebungen zu verschlüsseln.

Anzeige

Angesichts autonomer KI-Angriffe und steigender Phishing-Quoten müssen Unternehmen ihre IT-Sicherheit ohne teure Investitionen grundlegend stärken. Erfahren Sie in diesem Gratis-E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. Gratis-E-Book zur IT-Sicherheit herunterladen

Laut FBI-Erkenntnissen stieg die Zahl KI-gestützter Phishing-Versuche im ersten Quartal 2026 bereits um 142 Prozent. Das unterstreicht die Dringlichkeit robusterer Identitätsschutz-Maßnahmen.

de | wissenschaft | 69705213 |