SessionShark: Neue Bedrohung für Office 365 durch Umgehung der MFA-Sicherheit

MÜNCHEN (IT BOLTWISE) – Die Bedrohungslage im Bereich der Cybersicherheit hat mit der Einführung von SessionShark, einem neuen Phishing-Toolkit, das speziell entwickelt wurde, um die Multi-Faktor-Authentifizierung (MFA) von Microsoft Office 365 zu umgehen, eine neue Dimension erreicht.

Die Cybersicherheitslandschaft steht vor einer neuen Herausforderung: SessionShark, ein hochentwickeltes Phishing-Toolkit, das speziell darauf ausgelegt ist, die Sicherheitsmaßnahmen von Microsoft Office 365 zu umgehen. Diese Entwicklung stellt eine erhebliche Eskalation in der Raffinesse und Zugänglichkeit von Phishing-Toolkits dar, die auf cloudbasierte Geschäftsumgebungen abzielen.

SessionShark wird in Untergrundforen als Phishing-as-a-Service (PhaaS) Lösung vermarktet, die es selbst wenig erfahrenen Bedrohungsakteuren ermöglicht, Office 365-Konten zu kapern, indem sie Sitzungstoken stehlen und die MFA unwirksam machen. Diese Tokens, die die erfolgreiche Durchführung der MFA bestätigen, werden von den Angreifern genutzt, um die authentifizierte Sitzung zu übernehmen, ohne dass der üblicherweise erforderliche Einmalpasscode benötigt wird.

Berichten zufolge verwendet das Toolkit täuschend echte Nachbildungen der Microsoft-Anmeldeoberflächen, die sich dynamisch an verschiedene Bedingungen anpassen, um die Glaubwürdigkeit zu erhöhen. Diese realistischen Phishing-Seiten führen ahnungslose Benutzer durch einen scheinbar legitimen Authentifizierungsprozess, während sie heimlich deren Anmeldedaten und Sitzungsdaten sammeln.

SessionShark verfügt über fortschrittliche Umgehungstechniken, die speziell entwickelte „Menschliche Verifizierungstechniken“ einsetzen, um automatisierte Sicherheitsscanner und Forschungsbots herauszufiltern. Dies stellt sicher, dass der Phishing-Inhalt vor Sicherheitssystemen verborgen bleibt. Die Architektur des Toolkits umfasst eine native Kompatibilität mit Cloudflare-Diensten, die die tatsächliche Hosting-Infrastruktur verschleiern und die Abschaltungsbemühungen erschweren.

Zusätzlich integriert das Toolkit benutzerdefinierte HTTP-Header und ausweichende Skripte, die speziell darauf ausgelegt sind, von großen Bedrohungsintelligenz-Feeds und Anti-Phishing-Systemen nicht erkannt zu werden. Wenn Muster wie die oben genannten erkannt werden, kann SessionShark sein Verhalten dynamisch ändern, um als legitime Website zu erscheinen, anstatt seine Phishing-Komponenten zu offenbaren.

Das Toolkit bietet ein umfassendes Protokollierungssystem mit Telegram-Bot-Integration, das Angreifer sofort benachrichtigt, wenn Opfer ihre Anmeldedaten eingeben. Dieses Echtzeit-Benachrichtigungssystem umfasst die E-Mail des Opfers, das Passwort und vor allem das Sitzungscookie, was Kontoübernahmen innerhalb von Sekunden nach dem Kompromittieren ermöglicht und traditionelle Incident-Response-Fähigkeiten weit übertrifft.

Obwohl es eindeutig zu kriminellen Zwecken entwickelt wurde, vermarkten die Entwickler von SessionShark es mit einem Disclaimer für „Bildungszwecke“ – ein transparenter Versuch, eine plausible Abstreitbarkeit zu bieten, während ein Produkt verkauft wird, das ausdrücklich für kriminelle Zwecke entwickelt wurde. Dieses Phishing-as-a-Service-Angebot folgt dem abonnementbasierten Modell, das in legitimer Software weit verbreitet ist, einschließlich Benutzersupport über dedizierte Telegram-Kanäle.

Für Sicherheitsexperten ist SessionShark ein Beispiel für das eskalierende Wettrüsten zwischen Sicherheitsmaßnahmen und Umgehungstechniken. Organisationen, die sich ausschließlich auf MFA als primäre Verteidigung gegen Kontoübernahmen verlassen, müssen nun zusätzliche Schutzschichten implementieren, einschließlich fortschrittlicher Phishing-Erkennungslösungen, die AiTM-Angriffe identifizieren können, kontinuierlicher Überwachung verdächtiger Anmeldemuster und Sitzungsanomalien sowie der Benutzeraufklärung über ausgeklügelte Phishing-Techniken, die legitime Authentifizierungsabläufe nachahmen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!