Bluekit: KI-Phishing-Kit macht 2FA-Schutz zunichte

Cyberkriminelle setzen zunehmend auf automatisierte Angriffswerkzeuge, die selbst etablierte Sicherheitsmechanismen aushebeln. Im Fokus steht ein neues Phishing-Kit namens Bluekit, das künstliche Intelligenz und Sprachklonen kombiniert – und damit die Zwei-Faktor-Authentifizierung (2FA) umgeht.

KI-gestützte Phishing-Kits für jedermann

Sicherheitsforscher von Varonis entdeckten Anfang Mai ein Phishing-Kit, das selbst wenig versierten Angreifern professionelle Angriffsmöglichkeiten eröffnet. Bluekit enthält einen KI-Assistenten, der den gesamten Phishing-Prozess automatisiert. Das Toolkit bietet mehr als 40 Vorlagen für gefälschte Anmeldeseiten – darunter Nachbauten von Apple und GitHub.

Moderne Phishing-Methoden wie CEO-Fraud nutzen gezielt psychologische Tricks, um selbst erfahrene Mitarbeiter zu täuschen. Wie Sie diese Manipulationen entlarven und Ihr Unternehmen in vier Schritten effektiv gegen Hacker-Angriffe absichern, erfahren Sie in diesem kostenlosen Ratgeber. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern

Besonders brisant: Bluekit kann sekundäre Sicherheitscodes in Echtzeit abfangen. Die Software nutzt Standortdaten zur gezielten Ansprache von Opfern und tarnt sich mit Anti-Bot-Mechanismen vor Sicherheitsscannern. Hinzu kommt eine Sprachklon-Funktion, die täuschend echte Telefonanrufe ermöglicht.

Bislang wurde Bluekit noch nicht in aktiven Kampagnen identifiziert, doch das Tool befindet sich in intensiver Entwicklung. Gestohlene Daten werden über Telegram abgeführt.

Google-Domain als Einfallstor für Massenangriff

Parallel dazu deckten Guardio Labs Ende April eine großangelegte Operation auf: Die als AccountDumpling bekannte Kampagne kompromittierte über 30.000 Facebook-Konten. Die Angreifer nutzten Google AppSheet, um Phishing-Mails von der legitimen Domain noreply@appsheet.com zu versenden. Diese Mails passierten selbst strenge Sicherheitsfilter wie SPF, DKIM und DMARC.

Rund 68,6 Prozent der Opfer stammen aus den USA. Die Urheber der Aktion konnten auf einen einzelnen Täter in Vietnam zurückverfolgt werden – ein Beispiel für die globale Vernetzung moderner Betrugsnetzwerke.

Massenausnutzung kritischer Sicherheitslücken

Während Phishing-Kits auf den Menschen zielen, greifen technische Exploits die Server-Infrastruktur an. Eine kritische Schwachstelle in cPanel und WHM (CVE-2026-41940) wird derzeit massiv ausgenutzt. Seit Anfang Mai wurden über 44.000 Server weltweit kompromittiert. Der Fehler erlaubt unbefugten Root-Zugriff per CRLF-Injection – Angreifer erhalten die vollständige Kontrolle über das System.

Anfang Mai wurden mehrere Regierungswebsites in Guam aufgrund dieser Sicherheitslücke gehackt. Die Schwachstelle dient zur Verbreitung der Sorry-Ransomware, einem Go-basierten Verschlüsselungstrojaner, der ChaCha20 und RSA-2048 nutzt. Betroffene zahlen im Schnitt rund 7.000 Euro Lösegeld.

Die USA sind mit über 15.000 kompromittierten IPs am stärksten betroffen, gefolgt von Frankreich und Deutschland. Sicherheitsbehörden fordern eine sofortige Aktualisierung auf Version 11.136.0.5 oder höher. Experten warnen: Ein reines Patchen reicht nicht – Administratoren müssen nach SSH-Hintertüren in authorized_keys-Dateien suchen.

Harte Strafen und veränderte Sicherheitsstrategien

Die zunehmende Bedrohungslage hat auch juristische Konsequenzen. Ende April 2026 verurteilte ein US-Gericht zwei Cybersicherheitsexperten zu vier Jahren Haft. Ryan Goldberg und Kevin Martin hatten als Zulieferer der ALPHV (BlackCat)-Ransomware-Gruppe gearbeitet und Angriffe ermöglicht, die allein einem Opfer Bitcoins im Wert von 1,2 Millionen Dollar abpressten.

Unternehmen reagieren auf die wachsende Komplexität der Angriffe. Eine Studie von Checkmarx zeigt: Obwohl 90 Prozent der Entwickler Zugang zu Sicherheitsschulungen haben, betrachten nur 21 Prozent Sicherheit als vorrangiges Thema. Entwickler verbringen über 17 Stunden pro Woche mit Sicherheitsaufgaben – eine enorme Belastung.

Die dreifache Bedrohung

Die Kombination aus KI-gesteuertem Phishing, Missbrauch vertrauenswürdiger Cloud-Plattformen und Massenkompromittierung von Hosting-Infrastruktur stellt eine „dreifache Bedrohung" dar. Branchenberichte zeigen: Die Zahl der Ransomware-Opfer stieg 2024 um 26 Prozent auf rund 5.300 gemeldete Fälle. Während etablierte Gruppen wie LockBit an Bedeutung verlieren, füllen Neueinsteiger wie RansomHub die Lücke.

Besonders beunruhigend ist der KI-Einsatz in Werkzeugen wie Bluekit: Er automatisiert die aufwendigsten Teile eines Angriffs – Social Engineering und manuelle Umgehung von Sicherheitsschichten. Kombiniert mit Lieferkettenangriffen wie der „Mini Shai-Hulud"-Kampagne, die über 1.800 Entwickler traf, wird die Angriffsfläche nahezu unkontrollierbar.

Ausblick: Abschied von SMS-basierter 2FA

Mit Ablauf der Patch-Frist für die cPanel-Lücke Anfang Mai rechnen Experten mit einer langen Welle von Kompromittierungen. Der jüngste Cloud-Datenleck bei der Europäischen Kommission – mutmaßlich 350 GB Daten durch die Gruppe ShinyHunters gestohlen – zeigt, dass selbst höchste Verwaltungsebenen verwundbar bleiben.

Der Fokus verschiebt sich hin zu „cyber-physischer Resilienz" und robuster Identitätsverwaltung. Nationale Initiativen wie Kanadas CIREN-Programm setzen auf kontinuierliche Überwachung statt regelmäßiger Audits. Für Unternehmen heißt die Devise: Weg von SMS-basierter 2FA, hin zu Hardware-Schlüsseln oder biometrischer Authentifizierung – die einzigen Methoden, die gegen automatisierte Abfangtechniken der neuen Phishing-Generation immun sind.

Da herkömmliche Passwörter und SMS-Codes zunehmend durch automatisierte Angriffe überwunden werden, empfehlen Experten den Umstieg auf passwortlose Sicherheit. In diesem kostenlosen Report erfahren Sie, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp für maximale Sicherheit einrichten. Kostenlosen PDF-Report zu Passkeys herunterladen

de | wissenschaft | 69274138 |