Phishing-as-a-Service: Neue Bedrohung für Microsoft 365 Nutzer

MÜNCHEN (IT BOLTWISE) – In der digitalen Welt von heute sind Cyberangriffe allgegenwärtig, und eine neue Bedrohung hat sich in Form von Phishing-as-a-Service (PhaaS) etabliert. Diese Entwicklung zielt insbesondere auf Nutzer von Microsoft 365 ab und nutzt eine raffinierte Technik, um selbst die Sicherheitsmaßnahmen von Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Die jüngste Bedrohung in der Cyberwelt kommt in Form eines Phishing-as-a-Service (PhaaS) Toolkits namens Rockstar 2FA, das speziell darauf abzielt, Microsoft 365-Konten zu kompromittieren. Diese neue Angriffswelle nutzt eine sogenannte Adversary-in-the-Middle (AiTM) Technik, die es Angreifern ermöglicht, Benutzeranmeldedaten und Sitzungscookies abzufangen. Dies bedeutet, dass selbst Nutzer, die Multi-Faktor-Authentifizierung (MFA) aktiviert haben, nicht vollständig geschützt sind.

Rockstar 2FA wird als aktualisierte Version des DadSec Phishing-Kits angesehen, das unter dem Namen Storm-1575 von Microsoft verfolgt wird. Diese Kits werden über Plattformen wie ICQ, Telegram und Mail.ru im Abonnementmodell angeboten, was es auch technisch weniger versierten Kriminellen ermöglicht, groß angelegte Phishing-Kampagnen durchzuführen. Die Kosten für den Zugang zu diesen Tools beginnen bei 200 US-Dollar für zwei Wochen.

Zu den beworbenen Funktionen von Rockstar 2FA gehören die Umgehung von Zwei-Faktor-Authentifizierung, das Ernten von 2FA-Cookies, Antibot-Schutz und die Möglichkeit, Anmeldeseiten zu gestalten, die beliebten Diensten ähneln. Zudem bietet das Toolkit eine benutzerfreundliche Administrationsoberfläche, die es den Nutzern ermöglicht, den Status ihrer Phishing-Kampagnen zu überwachen und URLs sowie Anhänge zu generieren.

Die von Trustwave entdeckten E-Mail-Kampagnen nutzen eine Vielzahl von Zugangsmethoden, darunter URLs, QR-Codes und Dokumentanhänge, die in Nachrichten von kompromittierten Konten oder Spam-Tools eingebettet sind. Diese E-Mails verwenden verschiedene Vorlagen, die von Dateifreigabenachrichten bis hin zu Anfragen für elektronische Signaturen reichen.

Um Antispam-Detektionen zu umgehen, verwenden die Angreifer legitime Link-Redirectoren und Antibot-Prüfungen, die Cloudflare Turnstile nutzen. Darüber hinaus werden legitime Dienste wie Atlassian Confluence, Google Docs Viewer und Microsoft OneDrive genutzt, um die Phishing-Links zu hosten, was das Vertrauen der Nutzer in diese Plattformen ausnutzt.

Die Phishing-Seiten sind so gestaltet, dass sie den Anmeldeseiten der imitierten Marken stark ähneln, obwohl der HTML-Code stark verschleiert ist. Alle von den Nutzern auf der Phishing-Seite eingegebenen Daten werden sofort an den AiTM-Server gesendet, und die abgefangenen Anmeldedaten werden verwendet, um das Sitzungscookie des Zielkontos abzurufen.

Diese Enthüllungen kommen zu einem Zeitpunkt, an dem Malwarebytes eine Phishing-Kampagne namens Beluga beschreibt, die .HTM-Anhänge verwendet, um Empfänger dazu zu bringen, ihre Microsoft OneDrive-Anmeldedaten auf einer gefälschten Anmeldeseite einzugeben. Diese Daten werden dann an einen Telegram-Bot exfiltriert.

Zusätzlich zu diesen Phishing-Bedrohungen wurden auch betrügerische Finanz-Apps entdeckt, die persönliche Daten und Geld stehlen, indem sie schnelle Gewinne versprechen. Diese Apps sind so gestaltet, dass sie Nutzer dazu verleiten, Geld einzuzahlen, das sie möglicherweise nie wiedersehen.