Kali365: Kriminelle kapern Microsoft-Konten über Gerätecode-Login
28.06.2026 - 23:44:17 | boerse-global.de
Kriminelle nutzen legitime Microsoft-Funktion aus, um Unternehmenskonten zu kapern.
Das FBI hat eine Alarmmeldung zu einer neuen Phishing-Plattform namens Kali365 herausgegeben. Seit April 2026 ist das Tool aktiv und umgeht herkömmliche Sicherheitsmaßnahmen wie Passwörter und Multi-Faktor-Authentifizierung (MFA). Die Methode setzt auf einen cleveren Trick: Sie missbraucht den legitimen Gerätecode-Login von Microsoft 365.
Wie der Angriff funktioniert
Der Gerätecode-Login ist eigentlich für Geräte mit eingeschränkter Eingabe gedacht – etwa Smart-TVs oder IoT-Hardware. Die Angreifer verschicken KI-generierte Phishing-Mails mit einem spezifischen Code. Gibt der Empfänger diesen Code auf der offiziellen Microsoft-Anmeldeseite ein, autorisiert er damit unbewusst die Sitzung des Angreifers.
Die Kriminellen erbeuten auf diese Weise OAuth-Token und erhalten direkten Zugriff auf sensible Anwendungen wie Outlook, Teams und OneDrive. Weil die Authentifizierung über einen legitimen Microsoft-Kanal läuft, werden selbst MFA-Schutzmaßnahmen ausgehebelt. Das FBI betont: Die Plattform wird vor allem über Telegram verbreitet. Nutzer sollten nur Gerätecodes eingeben, die sie selbst initiiert haben. Administratoren müssen aktive Sitzungen regelmäßig auf verdächtige Aktivitäten prüfen.
Bluekit: Phishing-as-a-Service mit neuen Funktionen
Neben Kali365 haben Sicherheitsforscher Updates am Phishing-Kit Bluekit entdeckt. Auch dieses Tool ist seit April 2026 dokumentiert. Neu ist die Integration von Browser-in-the-Middle-Funktionen (BitM) mithilfe der rrweb-Bibliothek. Dabei lädt der Angreifer eine echte Anmeldeseite in einer kontrollierten Browserumgebung.
Während das Opfer auf der Seite interagiert, fängt der Angreifer-Browser die resultierenden Sitzungstoken ab. Zur Tarnung setzt Bluekit auf mehrere Anti-Analyse-Maßnahmen: CSS-Filter, verschlüsselte JavaScript-Pakete und WebRTC-basierte IP-Prüfungen. Allein in der vergangenen Woche registrierten Beobachter 70 neue Hostnamen, die mit diesem Kit in Verbindung stehen.
Lazarus-Gruppe setzt auf speicherresidente Angriffe
Wer die neue Kali365-Phishing-Methode für sein Unternehmen bewerten will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von Gerätecode-Konfiguration bis OAuth-Token-Überwachung. Jetzt kostenlosen Sicherheits-Report anfordern
Auch die berüchtigte Lazarus-APT-Gruppe hat neue Methoden entwickelt, um Microsoft-Umgebungen anzugreifen. Ihr RemotePE-Toolchain, bestehend aus DPAPILoader und RemotePELoader, arbeitet vollständig im Arbeitsspeicher – das erschwert forensische Spuren. Die Toolchain nutzt die Windows Data Protection API (DPAPI) zur Entschlüsselung und entfernt gezielt Sicherheits-Hooks.
Besonders perfide: Die Kommunikation mit den Kommando-Servern ist so gestaltet, dass sie legitimen Microsoft-Netzwerkverkehr imitiert. Manuelle Operationen finden typischerweise während koreanischer Geschäftszeiten statt.
KI-Assistenten als Sicherheitsrisiko
Aktuelle Berichte zeigen zudem Schwachstellen in KI-gestützten Tools, die in Unternehmensabläufe integriert sind. KI-Programmierassistenten lassen sich über speziell präparierte Fehlermeldungen manipulieren, um vertrauliche Unternehmensgeheimnisse preiszugeben. Diese Angriffsform kommt ohne klassische Malware oder Phishing aus – sie nutzt lediglich den Zugriff des KI-Agenten auf interne E-Mails und Kalender.
Neue Verwaltungsoptionen bei Microsoft
Microsoft hat auf die wachsenden Bedrohungen reagiert. Windows 11 Pro, Education und Enterprise bieten nun eine Gruppenrichtlinie, um Copilot dauerhaft zu entfernen. Voraussetzung: Das Tool wurde in den letzten 28 Tagen nicht gestartet und nicht manuell installiert.
Ihre MFA wird umgangen – und das über eine legitime Microsoft-Funktion. Dieser Report zeigt, wie Sie OAuth-Token-Diebstahl erkennen und Ihre M365-Umgebung gegen Gerätecode-Angriffe absichern. Gerätecode-Sicherheitsleitfaden jetzt sichern
Zudem erlaubt Microsoft Defender XDR Administratoren, bestimmte Benutzer, Gerätegruppen oder IP-Adressen von der automatischen Angriffsunterbrechung auszuschließen. Diese Funktion schützt kritische Dienste und Altsysteme davor, bei einer Sicherheitsreaktion versehentlich deaktiviert zu werden. Microsoft warnt jedoch: Solche Ausnahmen könnten den Gesamtschutz verringern.
In der kanadischen Provinz Quebec bieten Sicherheitsfirmen inzwischen spezialisierte Bewertungen an, um Unternehmen bei der Einhaltung lokaler Standards wie Quebec Law 25 zu unterstützen. Diese Prüfungen konzentrieren sich auf Identitätsschutz, bedingten Zugriff und Intune-verwaltete Gerätesicherheit – genau die Lücken, die moderne Phishing-Kits ausnutzen.
