Microsoft 365: FBI warnt vor Phishing-Plattform Kali365
26.06.2026 - 18:47:14 | boerse-global.de
Sicherheitsforscher und US-Behörden haben eine besorgniserregende Zunahme von Phishing-Angriffen auf Microsoft 365 identifiziert. Die neuen Kampagnen nutzen ausgeklügelte Techniken, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen – von der Manipulation legitimer Authentifizierungsabläufe bis hin zu Live-Browser-Streaming. Besonders betroffen: Finanzdienstleister, Fertigungsindustrie, Bildungseinrichtungen, Regierungsbehörden und das Gesundheitswesen.
FBI warnt vor „Kali365“ – Gefährliche Phishing-Plattform auf Telegram
Das FBI hat eine öffentliche Warnung zu Kali365 herausgegeben, einer als Dienstleistung angebotenen Phishing-Plattform (PhaaS), die über Telegram vertrieben wird. Das Besondere: Das Kit zielt auf den OAuth-Gerätecode-Fluss von Microsoft 365 ab. Angreifer können damit Sitzungstoken abfangen, ohne Passwörter oder klassische MFA-Abfragen zu benötigen.
Die Auswirkungen sind massiv. Bereits im Frühjahr wurden mehr als 340 Organisationen in einer früheren Angriffswelle kompromittiert. Zur Abwehr empfehlen die Behörden den Einsatz spezifischer Conditional-Access-Richtlinien in Microsoft Entra ID.
Mirage2FA: HTML-Schmuggel und Live-Token-Diebstahl
Die Sicherheitsforscher von Fortra haben einen weiteren gefährlichen Gegner identifiziert: Mirage2FA. Dieses Phishing-Kit, das Ende Juni analysiert wurde, setzt auf HTML-Schmuggel und verschleiertes JavaScript, um gefälschte Microsoft-365-Loginseiten auszuliefern. Das Ziel: Anmeldedaten und MFA-Codes in Echtzeit stehlen.
Die Kampagnen tarnen sich häufig als Benachrichtigungen zu sicheren Dokumenten, Rechnungen oder Zahlungserinnerungen. Ein Indikator für einen Angriff ist die Domain cheacker[.]store, die Mitte März registriert wurde. Wer auf die gefälschte Login-Seite hereinfällt, wird mit einem zweiten Skript konfrontiert, das den legitimen Anmeldeprozess inklusive gefälschter CAPTCHAs nachahmt – mit dem Ziel der Kontokaperei und betrügerischen Zahlungsumleitungen.
Angesichts der Zunahme von Phishing-Angriffen auf Cloud-Dienste ist ein strukturierter Schutz für Unternehmen unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen gegen moderne Hacker-Abwehr und Identitätsdiebstahl absichern. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen
Bluekit: Browser-in-the-Middle als neue Bedrohung
Eine besonders innovative Gefahr stellt Bluekit dar, eine neu aufgetauchte PhaaS-Plattform. Sie nutzt eine Browser-in-the-Middle (BitM)-Architektur. Statt einer statischen Phishing-Seite streamt Bluekit eine Live-Login-Sitzung aus dem Browser des Angreifers direkt an das Opfer.
Durch den Einsatz von WebRTC-IP-Verifizierung und rrweb-Streaming umgeht Bluekit nicht nur Standard-MFA, sondern auch gerätegebundene Sitzungsanmeldeinformationen (DBSC). Die Überwachung durch Netcraft hat in den letzten Tagen rund 70 aktive Hostnamen dieser Plattform identifiziert. Sicherheitsexperten raten zur Einführung phishing-resistenter Authentifizierungsmethoden wie Hardware-Sicherheitsschlüssel.
Der größere Kontext: Identitätsangriffe auf dem Vormarsch
Die Welle von Microsoft-spezifischem Phishing ist Teil eines allgemeinen Anstiegs identitätsbezogener Sicherheitslücken. Allein im Mai wurden 6.308 neue Schwachstellen (CVEs) gemeldet, davon 523 mit Bezug zu Identitätsmanagement. Zu den schwerwiegenden Vorfällen im späten Frühjahr zählte eine Kampagne, die Gastbenutzerberechtigungen ausnutzte, um große Einzelhandels- und Technologieunternehmen anzugreifen, sowie ein Datenleck bei New York City Health + Hospitals, bei dem Daten von 1,8 Millionen Menschen offengelegt wurden.
Cyberkriminelle nutzen immer häufiger psychologische Tricks, um Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung zu umgehen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Angreifer und erklärt, wie Unternehmen ihre Mitarbeiter effektiv sensibilisieren können. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus
Doch nicht nur Microsoft steht im Fadenkreuz. Forscher haben zudem ein Adversary-in-the-Middle (AiTM)-Kit identifiziert, das sich gegen AWS-Nutzer richtet. Die seit Mitte 2025 aktive, aber erst diese Woche detailliert beschriebene Kampagne zielte auf rund 50 Softwareentwickler in den USA ab. Auch hier nutzen die Angreifer geklonte Login-Seiten, um Anmeldedaten und MFA-Codes in Echtzeit abzugreifen.
