Microsoft 365: Kali365-Phishing-Welle umgeht MFA massenhaft
05.06.2026 - 10:23:25 | boerse-global.de
Sicherheitsforscher und Strafverfolgungsbehörden schlagen Alarm: Die Angriffe auf Microsoft-365-Dienste nehmen massiv zu. Besonders perfide: Die Täter nutzen künstliche Intelligenz und raffinierte Methoden, um selbst mehrstufige Authentifizierungen zu umgehen.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. 4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste?
Phishing als Dienstleistung: Kali365 im Visier der Ermittler
Im Zentrum der Bedrohungslage steht Kali365, eine sogenannte Phishing-as-a-Service-Plattform (PhaaS), die seit April 2026 aktiv ist. Die Experten von Arctic Wolf Labs haben die rasante Ausbreitung des Dienstes dokumentiert. Ursprünglich auf Microsoft-365-Konten spezialisiert, umfasst die Infrastruktur inzwischen 126 schädliche Hosts. Diese imitieren verschiedene Unternehmensdienste – darunter Okta Single Sign-On, AWS und Xerox DocuShare.
Die Methode ist ausgeklügelt: Kali365 nutzt den OAuth-Geräteautorisierungsablauf von Microsoft, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen – ohne dass das Opfer sein Passwort preisgeben muss. Das FBI hatte bereits im Mai 2026 eine öffentliche Warnung herausgegeben. Die Angreifer setzen KI-generierte Phishing-Köder und automatisierte Kampagnen ein, um Zugriffstoken zu stehlen. Einmal autorisiert, verschaffen sie sich dauerhaften Zugang zu Teams, Outlook und OneDrive.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlose Cyber-Security Checkliste herunterladen
Zwischen dem 6. und 27. Mai 2026 weitete die Plattform ihre Aktivitäten auf MAX Messenger aus, einen Dienst mit über 110 Millionen Nutzern. Die Täter lockten mit gefälschten Gewinnspielseiten, um Telefonnummern und Einmalpasswörter abzugreifen. Das Kali365-Kit wird auf Telegram für umgerechnet rund 250 US-Dollar pro Monat in Bitcoin angeboten.
Microsoft Teams als Einfallstor für Schadsoftware
Eine separate Angriffswelle aus dem April 2026 zeigt, wie Angreifer Microsoft Teams und die Quick-Assist-Funktion kapern. Die Analysten von eSentire TRU beobachteten eine Kombination aus Vishing (Sprach-Phishing) und Inbox-Bombing – dabei werden hunderte E-Mails in kurzer Zeit verschickt, um das Opfer zu überfluten. Die Täter geben sich als IT-Support aus.
Sobald der Angreifer über Quick Assist Zugriff erlangt, installiert er Nimbus RAT, einen Java-basierten Schädling. Dieser nutzt Google Drive und Google Sheets als Kommando- und Kontrollkanal. Besonders alarmierend: 65 Prozent dieser Angriffe stammten von legitimen onmicrosoft.com-Mandanten. Über einen Zeitraum von zwölf Monaten identifizierten die Forscher 1.540 verdächtige Teams-Interaktionen in 172 verschiedenen Organisationen. Ein Teil der Aktivitäten wird den bekannten Erpresserbanden BlackSuit und Black Basta zugeschrieben.
Exchange-Ausfall und Sicherheitslücken in Android-Apps
Nicht nur externe Angriffe bereiten Sorgen. Am 2. Juni 2026 legte ein Ausfall von Microsoft Exchange Online (Vorfall EX1331830) die E-Mail-Kommunikation in Nordamerika, Europa und im asiatisch-pazifischen Raum lahm. Der Vorfall begann um 10:33 Uhr EDT und wurde durch SMTP-Verzögerungen und Serverfehler verursacht. Einige Nutzer berichteten von Verzögerungen von über einer Stunde.
Bereits im Mai 2026 hatte Microsoft Sicherheitslücken in seinen Android-Apps geschlossen. Die als FlagLeft bekannten Schwachstellen wurden von Forschern von Enclave entdeckt. Ein aktives Debug-Flag in einem gemeinsam genutzten Software-Development-Kit (SDK) war in der Produktivumgebung verblieben. Betroffen waren Word, PowerPoint, Excel, Copilot, Loop und OneNote. Diese Lücke hätte es Drittanwendungen ermöglichen können, Kontotoken zu stehlen. Die Schwachstellen erhielten Schweregrade zwischen 4,4 und 7,7.
Gefahr für Entwickler und Kryptowährungsnutzer
Microsoft Threat Intelligence warnt zudem vor Angriffen auf die Software-Lieferkette. Zwei kompromittierte npm-Pakete – utils-terminal und logger-active – enthielten Schadcode, der Tastatureingaben, Bildschirmfotos und Kryptowährungs-Wallet-Zugangsdaten stiehlt. Die gestohlenen Daten wurden über die Hugging-Face-Plattform abtransportiert.
Eine weitere Kampagne mit dem Namen ClickFix nutzt Google Sites, um gefälschte Installer für Tools wie Claude Code und OpenAI Codex zu hosten. Wer versucht, diese Programme zu installieren, löst eine mehrstufige PowerShell-Sequenz aus. Die eingesetzte Malware stiehlt Browser-Passwörter und E-Mail-Zugangsdaten. Die Forscher stellten fest, dass die endgültige Schadsoftware oft mittels Steganografie in Bildern versteckt wird – eine Methode, die herkömmliche Erkennungssysteme leicht übersehen.
