Neues Phishing-Kit greift Microsoft-365-Konten an

Sicherheitsforscher von Barracuda verfolgen seit Juli 2025 eine neue Bedrohung im Bereich der Phishing-as-a-Service-Plattformen. Das als „Whisper 2FA“ bezeichnete Kit konzentriert sich auf den Diebstahl von Microsoft 365-Anmeldedaten und hat im vergangenen Monat fast eine Million Angriffe auf Nutzerkonten verzeichnet. Damit entwickelte es sich zur dritthäufigsten PhaaS-Plattform nach Tycoon und EvilProxy.

Das Kit zeigt Ähnlichkeiten mit Salty 2FA, einer anderen neuen PhaaS-Plattform, die laut einem Bericht von AnyRun ebenfalls auf den Diebstahl von Microsoft 365-Anmeldedaten spezialisiert ist. Beide sind gut verschleierte Credential-Harvester mit Anti-Debugging-, Anti-Analyse- und Marken-Nachahmungs-Funktionen.

Das besondere Merkmal von Whisper 2FA liege in seiner Fähigkeit, Microsoft 365-Anmeldedaten mehrfach durch eine Echtzeit-Credential-Exfiltration zu stehlen, so die Experten von Barracuda. Das wird durch die Web-Technologie AJAX ermöglicht, die normalerweise für Live-Chat-Funktionen oder dynamische Dashboards verwendet wird. Die Angreifer halten diese Schleife so lange aufrecht, bis sie einen gültigen Multi-Faktor-Authentifizierung-Token für das Microsoft 365-Konto erhalten.

Vielfältige Köder und schnelle Entwicklung

Die Bedrohungsanalysten fanden eine breite Palette von Phishing-E-Mails, die zu Whisper 2FA führen. Dabei rotieren die Kriminellen zwischen bekannten, vertrauenswürdigen Marken wie DocuSign, Adobe oder Voicemail-Diensten und nutzen dringliche Vorwände, um ihre Erfolgsrate zu maximieren.

Das Phishing-Kit entwickelt sich mit hoher Geschwindigkeit sowohl in technischer Komplexität als auch bei Anti-Erkennungsstrategien weiter. Frühe Varianten enthielten noch zufällige Textschnipsel und Entwicklerkommentare im HTML/JavaScript-Quellcode, während die Verschleierung noch relativ einfach nachvollziehbar war.

Aktuelle Varianten haben diese menschenlesbaren Hinweise entfernt und setzen auf deutlich dichtere, mehrschichtige Verschleierung mit wiederholten Base64-Dekodierungsfunktionen. Neue Schutzmaßnahmen sollen es Sicherheitsforschern erschweren, das System zu analysieren oder zu manipulieren. Dazu gehören Tricks zur Erkennung und Blockierung von Debugging-Tools sowie das Deaktivieren von Entwickler-Tastenkombinationen.

Ausgeklügelte technische Umsetzung

Whisper 2FA verwendet laut der technischen Analyse eine Kombination aus Base64-Kodierung und XOR-Verschlüsselung zur Verschleierung. Zunächst werden die Daten in ein kodiertes Format umgewandelt, das wie zufälliger Text aussieht, und anschließend mit einer mathematischen Operation verschlüsselt. Jede Phishing-Seite erhält dabei einen eindeutigen Schlüssel.

Die neueren Varianten unternehmen erhebliche Anstrengungen, um eine Inspektion und Analyse der Phishing-Seite zu verhindern. Der Code deaktiviert Tastenkombinationen wie Ctrl+Shift+I oder Ctrl+U und blockiert das Rechtsklick-Kontextmenü. Eine besonders aggressive Taktik ist die sogenannte „infinite debugger loop“: Öffnet jemand die Entwicklertools, läuft der Code endlos und lässt den Browser-Tab einfrieren.

Zusätzlich nutzt Whisper 2FA einen Trick mit einem gefälschten Bildobjekt. Versucht jemand, dieses Objekt zu untersuchen – etwa beim Einsatz von Browser-Entwicklertools –, löst dies einen Befehl aus, der die Webseite sofort leert macht.

Echtzeit-MFA-Umgehung als Kernbedrohung

Nach dem Diebstahl der der Microsoft 365-Login-Daten geht Whisper 2FA in eine erweiterte Phase über: die Echtzeit-MFA-Ernte. Benötigt das Opferkonto einen SMS-Code oder einen Code aus einer Authentifizierungs-App, aktiviert das Phishing-Kit einen manuellen Erfassungsmodus. Das Backend der Angreifer sendet einen neuen Session-Token zusammen mit Anweisungen für die Phishing-Seite, ein Eingabefeld für den MFA-Code anzuzeigen.

Sobald das Opfer seinen Code eingibt und auf „Senden“ klickt, verpackt die Phishing-Seite den Code in eine verschleierte Payload und sendet ihn an den Command-and-Control-Server der Angreifer. Diese verwenden den Code sofort für einen echten Log-in-Versuch in das Microsoft-365-Konto. Funktioniert der Code, fährt die Phishing-Seite fort, als wäre der Log-in erfolgreich gewesen. Schlägt der Code fehl, bittet die Seite höflich um einen neuen Versuch.

Diese Schleife erlaubt unbegrenzte Wiederholungen und hält das Opfer so lange bei der Stange, bis ein gültiger Code erfasst wird. Laut Barracuda macht dies das Design besonders gefährlich, da es nicht nur einen einzelnen MFA-Code stiehlt, sondern als Live-Relay fungiert, jeden Code in Echtzeit validiert und fortsetzt, bis sich der Angreifer erfolgreich anmeldet.

Die Sicherheitsforscher betonen, dass Whisper 2FA sich von prominenten PhaaS-Kits wie EvilProxy in mehreren Punkten unterscheidet. Es vermeidet komplexe Reverse-Proxies und nutzt stattdessen leichtgewichtige AJAX-Anfragen zum Diebstahl von Anmeldedaten und MFA-Token, was die Bereitstellung erleichtert und die Erkennung erschwert. Gleichzeitig setzt es auf aggressive Anti-Analyse-Techniken mit mehreren Verschleierungsebenen und Fallen für Debugging-Tools.

(Quelle: https://blog.barracuda.com/2025/10/15/threat-spotlight-stealthy-phishing-kit-microsoft-365)