Kali365-Phishing: FBI warnt vor MFA-Umgehung bei Microsoft 365

Sicherheitsforscher und Behörden schlagen Alarm: Eine neue Generation von Phishing-Angriffen setzt auf künstliche Intelligenz und filelose Malware, um Windows-Umgebungen und Microsoft-365-Konten zu kompromittieren. Die im Mai veröffentlichten Berichte zeichnen ein besorgniserregendes Bild der aktuellen Bedrohungslage.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Prozess-Hollowing: Wenn MsBuild zum Einfallstor wird

Forscher von FortiGuard Labs haben eine neue Kampagne identifiziert, die eine Variante des PureLogs-Infostealers verbreitet. Der Angriff beginnt mit einer täuschend echten E-Mail, die eine gefälschte Bestellung als RAR-Archiv oder schädliche JavaScript-Datei enthält.

Die Infektionskette ist mehrstufig und raffiniert: Nach der Ausführung des JavaScripts kommen PowerShell-Skripte zum Einsatz, die .NET-Module entschlüsseln und extrahieren. Diese werden dann per Process-Hollowing in den legitimen Windows-Prozess MsBuild.exe injiziert. Diese filelose Technik umgeht herkömmliche Sicherheitslösungen, da der schädliche Code nie auf der Festplatte landet. Der Downloader kontaktiert anschließend einen Command-and-Control-Server, um weitere Module nachzuladen. Das Ziel: sensible Daten aus Chrome, Edge und Firefox stehlen sowie Discord-Authentifizierungstoken abgreifen.

FBI warnt: MFA-Umgehung per KI-Phishing

Das FBI hat Ende Mai eine Warnung zur Phishing-as-a-Service (PhaaS)-Plattform Kali365 herausgegeben. Diese seit April aktive Plattform zielt speziell auf Microsoft-365-Konten ab und umgeht dabei die mehrstufige Authentifizierung (MFA).

Die Methode ist ausgeklügelt: Statt Passwörter abzugreifen, nutzt Kali365 einen Device-Code-Authentifizierungstrick. Die Opfer erhalten hochgradig überzeugende E-Mails – häufig KI-generiert –, die sie auffordern, einen Code auf einer legitimen Microsoft-Autorisierungsseite einzugeben. Was der Nutzer nicht weiß: Damit autorisiert er unwissentlich den Angreifer. Die Täter erlangen so OAuth-Zugriffs- und Refresh-Tokens, die ihnen dauerhaften Zugriff auf Outlook, OneDrive und Teams verschaffen – ohne jemals das Passwort zu benötigen. Das FBI empfiehlt Unternehmen, die Device-Code-Authentifizierung zu deaktivieren oder strengere Conditional-Access-Richtlinien einzuführen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses E-Book zur Cyber Security jetzt sichern

Gezielte Angriffe auf Kanzleien und Politiker

Die Bedrohungslage ist breit gefächert. Die Silent Ransom Group (SRG), auch als Luna Moth bekannt, hat es auf US-amerikanische Anwaltskanzleien abgesehen. Seit Frühjahr 2023 setzt die Gruppe auf Social Engineering und Vishing (Voice-Phishing): Die Täter geben sich als IT-Support aus und überreden Mitarbeiter, Fernwartungssoftware wie Zoho Assist oder AnyDesk zu installieren. So gelangen sie an sensible Daten, die sie für Erpressungen nutzen – mit der Drohung, vertrauliches Material zu veröffentlichen.

Parallel dazu haben deutsche Behörden russlandnahe Akteure beschuldigt, Signal-Phishing-Angriffe gegen rund 300 politische Persönlichkeiten durchgeführt zu haben. Die Angreifer geben sich als Support-Mitarbeiter aus, um an PINs und QR-Codes zu gelangen und so die sichere Kommunikation zu kompromittieren. Dies reiht sich ein in eine Zunahme von Cyberoperationen gegen europäische politische Ziele in den vergangenen Monaten.

Kritische Lücke in Lernplattformen

Sicherheitsanalysten von Mandiant und Google Threat Intelligence haben Ende Mai eine kritische Zero-Day-Schwachstelle (CVE-2026-5426) im KnowledgeDeliver Learning Management System (LMS) gemeldet. Angreifer nutzten gemeinsam genutzte ASP.NET-Maschinenkeys aus, um unbeabsichtigten Code aus der Ferne auszuführen. Diese Lücke erlaubte es, schädlichen Code in JavaScript zu injizieren und Tools wie Cobalt Strike BEACON sowie die Godzilla-Webshell zu deployen.

Branchenbeobachter sehen Parallelen zu früheren Angriffen auf andere Serverplattformen. Der Markt für spezialisierte Phishing-Dienste wächst rasant: Angebote mit Echtzeit-Abfangen von Einmalpasswörtern (OTP) und KI-generierten Phishing-Seiten senken die Einstiegshürde für Cyberkriminelle erheblich.

de | wissenschaft | 69429362 |