Das FBI warnt davor, dass Cyberkriminelle zunehmend das Kali365-Phishing-Kit einsetzen, um Microsoft-365-Konten zu übernehmen und gleichzeitig Multifaktor-Authentifizierung zu umgehen.
Laut Ermittlern handelt es sich bei Kali365 um eine Phishing-as-a-Service-Plattform, die über Telegram-Kanäle und Cybercrime-Foren verbreitet wird. Anstatt direkt Passwörter zu stehlen, konzentriert sich das Toolkit auf den Diebstahl von OAuth-Tokens und authentifizierten Sitzungen.
Forscher warnen davor, dass diese Methode Angreifern Zugriff auf Microsoft-365-Konten verschaffen kann, selbst nachdem Nutzer die MFA-Verifizierung erfolgreich abgeschlossen haben.
Die Warnung verdeutlicht außerdem den wachsenden Trend hin zu tokenbasierten Phishing-Angriffen gegen Unternehmens-Cloudumgebungen.
Kali365 nutzt Device-Code-Phishing-Techniken
Das Kali365-Phishing-Kit missbraucht Microsofts legitimen Device-Code-Authentifizierungsprozess.
Microsoft entwickelte diese Funktion ursprünglich für Geräte mit eingeschränkten Eingabemöglichkeiten, darunter Smart-TVs, Drucker, Konferenzsysteme und IoT-Geräte. Nutzer authentifizieren diese Geräte, indem sie einen kurzen Autorisierungscode über Microsofts offizielles Login-Portal eingeben.
Angreifer nutzen diesen Prozess aus, indem sie selbst Autorisierungscodes generieren und Opfer anschließend per Phishing-E-Mail oder gefälschter Login-Anfrage dazu bringen, diese Codes einzugeben.
Forscher erklären, dass sich Angreifer häufig als vertrauenswürdige Dienste ausgeben, darunter:
- SharePoint
- Microsoft 365
- Adobe Acrobat Sign
- DocuSign
Sobald Opfer den Autorisierungscode eingeben und die MFA-Verifizierung abschließen, stellt Microsoft OAuth-Tokens aus, die mit der vom Angreifer kontrollierten Sitzung verknüpft sind.
Dadurch erhalten Angreifer Zugriff auf Konten, ohne direkt Passwörter stehlen zu müssen.
Gestohlene Tokens ermöglichen langfristigen Zugriff
Forscher warnen davor, dass der Diebstahl von OAuth-Tokens erhebliche Sicherheitsrisiken schafft, da Angreifer traditionelle Login-Schutzmechanismen vollständig umgehen können.
Erfolgreiche Angriffe können Zugriff ermöglichen auf:
- Outlook-Postfächer
- Teams-Unterhaltungen
- OneDrive-Dateien
- SharePoint-Umgebungen
- Verbundene Cloud-Anwendungen
Sicherheitsforscher berichten außerdem, dass Angreifer teilweise bösartige Posteingangsregeln erstellen, um verdächtige Aktivitäten in kompromittierten Postfächern zu verbergen.
In einigen Vorfällen sollen Bedrohungsakteure zudem neue Geräte innerhalb der betroffenen Umgebungen registriert haben, um dauerhaften Zugriff zu behalten.
Das Kali365-Phishing-Kit soll außerdem fortschrittliche Adversary-in-the-Middle-Funktionen enthalten, die authentifizierte Browser-Sitzungen und Session-Cookies abfangen, nachdem Nutzer die MFA-Verifizierung abgeschlossen haben.
Forscher warnen, dass diese Techniken moderne Phishing-Angriffe deutlich schwerer erkennbar machen als klassische Kampagnen zum Diebstahl von Zugangsdaten.
FBI fordert Unternehmen zur Einschränkung von Device-Code-Authentifizierung auf
Das FBI empfiehlt Unternehmen, Device-Code-Authentifizierungsprozesse möglichst einzuschränken oder vollständig zu deaktivieren.
Ermittler raten Organisationen außerdem dazu:
- Verdächtige OAuth-Token-Aktivitäten zu überwachen
- Nicht autorisierte Geräteanmeldungen zu prüfen
- Conditional-Access-Richtlinien einzusetzen
- Authentifizierungsübertragungen einzuschränken
- Die Nutzung von Device-Code-Authentifizierung zu auditieren
Forscher erklären, dass Token-Diebstahl und Device-Code-Phishing im vergangenen Jahr stark zugenommen haben, da Cyberkriminelle zunehmend von klassischen Passwortdiebstahl-Methoden abrücken.
Mehrere Phishing-as-a-Service-Plattformen nutzen Berichten zufolge bereits ähnliche Methoden gegen Microsoft-365- und Entra-Umgebungen.
Fazit
Das Kali365-Phishing-Kit zeigt, wie sich moderne Phishing-Operationen über traditionellen Passwortdiebstahl hinaus weiterentwickeln. Statt direkt Zugangsdaten anzugreifen, konzentrieren sich Angreifer zunehmend auf OAuth-Tokens und authentifizierte Sitzungen, die MFA-Schutzmechanismen umgehen können.
Die FBI-Warnung verdeutlicht außerdem, wie Phishing-as-a-Service-Plattformen fortschrittliche Angriffsmethoden für eine deutlich größere Zahl von Cyberkriminellen zugänglich machen. Während tokenbasierte Angriffe weiter zunehmen, könnten Unternehmen stärkere Identitätsschutzmaßnahmen und strengere Authentifizierungskontrollen in ihren Cloudumgebungen benötigen.
0 Kommentare zu „Kali365-Phishing-Kit umgeht Microsoft-365-MFA“