Microsoft 365: FBI warnt vor Phishing-Plattform Kali365
26.06.2026 - 18:47:14 | boerse-global.de
Sicherheitsforscher und US-Behörden haben eine besorgniserregende Zunahme von Phishing-Angriffen auf Microsoft 365 identifiziert. Die neuen Kampagnen nutzen ausgeklĂŒgelte Techniken, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen â von der Manipulation legitimer AuthentifizierungsablĂ€ufe bis hin zu Live-Browser-Streaming. Besonders betroffen: Finanzdienstleister, Fertigungsindustrie, Bildungseinrichtungen, Regierungsbehörden und das Gesundheitswesen.
FBI warnt vor âKali365â â GefĂ€hrliche Phishing-Plattform auf Telegram
Das FBI hat eine öffentliche Warnung zu Kali365 herausgegeben, einer als Dienstleistung angebotenen Phishing-Plattform (PhaaS), die ĂŒber Telegram vertrieben wird. Das Besondere: Das Kit zielt auf den OAuth-GerĂ€tecode-Fluss von Microsoft 365 ab. Angreifer können damit Sitzungstoken abfangen, ohne Passwörter oder klassische MFA-Abfragen zu benötigen.
Die Auswirkungen sind massiv. Bereits im FrĂŒhjahr wurden mehr als 340 Organisationen in einer frĂŒheren Angriffswelle kompromittiert. Zur Abwehr empfehlen die Behörden den Einsatz spezifischer Conditional-Access-Richtlinien in Microsoft Entra ID.
Mirage2FA: HTML-Schmuggel und Live-Token-Diebstahl
Die Sicherheitsforscher von Fortra haben einen weiteren gefÀhrlichen Gegner identifiziert: Mirage2FA. Dieses Phishing-Kit, das Ende Juni analysiert wurde, setzt auf HTML-Schmuggel und verschleiertes JavaScript, um gefÀlschte Microsoft-365-Loginseiten auszuliefern. Das Ziel: Anmeldedaten und MFA-Codes in Echtzeit stehlen.
Die Kampagnen tarnen sich hĂ€ufig als Benachrichtigungen zu sicheren Dokumenten, Rechnungen oder Zahlungserinnerungen. Ein Indikator fĂŒr einen Angriff ist die Domain cheacker[.]store, die Mitte MĂ€rz registriert wurde. Wer auf die gefĂ€lschte Login-Seite hereinfĂ€llt, wird mit einem zweiten Skript konfrontiert, das den legitimen Anmeldeprozess inklusive gefĂ€lschter CAPTCHAs nachahmt â mit dem Ziel der Kontokaperei und betrĂŒgerischen Zahlungsumleitungen.
Angesichts der Zunahme von Phishing-Angriffen auf Cloud-Dienste ist ein strukturierter Schutz fĂŒr Unternehmen unerlĂ€sslich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen gegen moderne Hacker-Abwehr und IdentitĂ€tsdiebstahl absichern. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen
Bluekit: Browser-in-the-Middle als neue Bedrohung
Eine besonders innovative Gefahr stellt Bluekit dar, eine neu aufgetauchte PhaaS-Plattform. Sie nutzt eine Browser-in-the-Middle (BitM)-Architektur. Statt einer statischen Phishing-Seite streamt Bluekit eine Live-Login-Sitzung aus dem Browser des Angreifers direkt an das Opfer.
Durch den Einsatz von WebRTC-IP-Verifizierung und rrweb-Streaming umgeht Bluekit nicht nur Standard-MFA, sondern auch gerĂ€tegebundene Sitzungsanmeldeinformationen (DBSC). Die Ăberwachung durch Netcraft hat in den letzten Tagen rund 70 aktive Hostnamen dieser Plattform identifiziert. Sicherheitsexperten raten zur EinfĂŒhrung phishing-resistenter Authentifizierungsmethoden wie Hardware-SicherheitsschlĂŒssel.
Der gröĂere Kontext: IdentitĂ€tsangriffe auf dem Vormarsch
Die Welle von Microsoft-spezifischem Phishing ist Teil eines allgemeinen Anstiegs identitĂ€tsbezogener SicherheitslĂŒcken. Allein im Mai wurden 6.308 neue Schwachstellen (CVEs) gemeldet, davon 523 mit Bezug zu IdentitĂ€tsmanagement. Zu den schwerwiegenden VorfĂ€llen im spĂ€ten FrĂŒhjahr zĂ€hlte eine Kampagne, die Gastbenutzerberechtigungen ausnutzte, um groĂe Einzelhandels- und Technologieunternehmen anzugreifen, sowie ein Datenleck bei New York City Health + Hospitals, bei dem Daten von 1,8 Millionen Menschen offengelegt wurden.
Cyberkriminelle nutzen immer hĂ€ufiger psychologische Tricks, um Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung zu umgehen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Angreifer und erklĂ€rt, wie Unternehmen ihre Mitarbeiter effektiv sensibilisieren können. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus
Doch nicht nur Microsoft steht im Fadenkreuz. Forscher haben zudem ein Adversary-in-the-Middle (AiTM)-Kit identifiziert, das sich gegen AWS-Nutzer richtet. Die seit Mitte 2025 aktive, aber erst diese Woche detailliert beschriebene Kampagne zielte auf rund 50 Softwareentwickler in den USA ab. Auch hier nutzen die Angreifer geklonte Login-Seiten, um Anmeldedaten und MFA-Codes in Echtzeit abzugreifen.
