Phishing-Baukasten Kali365 umgeht MFA
Der Phishing-as-a-Service-Baukasten Kali365 missbraucht Microsofts OAuth-Geräte-Anmeldung, um die Zwei-Faktor-Authentifizierung auszuhebeln. Laut dem Sicherheitsunternehmen Arctic Wolf imitiert die Kampagne neben Microsoft 365 und Okta auch den deutschen Mail-Anbieter GMX.
Der Sicherheitsanbieter Arctic Wolf hat eine Ausweitung der Phishing-Operation Kali365 dokumentiert. Der Baukasten, auch „K365″ genannt, missbraucht den OAuth-2.0-Device-Authorization-Flow von Microsoft – einen legitimen Anmeldemechanismus, der eigentlich für Geräte ohne klassische Login-Möglichkeit wie Smart-TVs oder Drucker gedacht ist.
Der Angreifer startet selbst eine Geräte-Anmeldung, erhält von Microsoft einen gültigen Code und bringt das Opfer über eine gefälschte OneDrive- oder SharePoint-Seite dazu, diesen Code auf der echten Microsoft-Seite einzugeben. Microsoft stellt die Zugriffstoken daraufhin direkt an die Anwendung des Angreifers aus – ohne dass dieser je das Passwort oder den zweiten Faktor des Opfers benötigt. Vermarktet wird der Baukasten dem Bericht zufolge über Telegram; die US-Bundespolizei FBI hatte vor KI-generierten Phishing-Ködern und automatisierten Kampagnen gewarnt.
GMX, Outlook und Okta unter den nachgeahmten Marken
Neben russischen und internationalen Zielen finden sich unter den von Arctic Wolf identifizierten 126 bösartigen Hosts, die im Mai 2026 aktiv waren, auch Imitationen des deutschen Mail-Anbieters GMX (1&1) sowie von Microsoft Outlook und Live, Okta SSO und Xerox DocuShare. Da der Angriff die Mehr-Faktor-Authentifizierung umgeht, greift eine zentrale Schutzmaßnahme vieler Organisationen ins Leere: Wer MFA als ausreichenden Schutz für Microsoft 365 betrachtet, ist gegen diese Technik nicht gefeit.
Arctic Wolf empfiehlt deswegen, die Device-Code-Authentifizierung in Microsoft-365-Umgebungen wo möglich zu deaktivieren oder über Conditional-Access-Richtlinien einzuschränken. Da die Phishing-Domains überwiegend über Cloudflare Workers laufen und im Median nur wenige Tage aktiv sind, sei das Blockieren einzelner URLs wenig wirksam; stattdessen sollten Verteidiger die Seitenvorlage und bekannte Infrastruktur ins Visier nehmen. Den Command-and-Control-Server panel[.]securehubcloud[.]com sowie die Domain attachedfile[.]com solle man am Übergang blockieren und ausgehenden Telegram-Verkehr aus dem Unternehmensnetz überwachen.
Redaktioneller Hinweis: Guy Waizel von Cato Networks beschreibt im <kes>-Beitrag „Zeitgemäße Fischereikontrolle”, wie Angreifer verstärkt legitime Cloud-Dienste missbrauchen („Living off the Cloud”) und auf kurzlebige, neu registrierte Domains sowie TLS-Verschlüsselung setzen, um der Erkennung zu entgehen. Wirksam sei nur ein mehrschichtiger Ansatz aus Inline-Inspektion, TLS-Prüfung und einer einheitlichen Sicht über Web-, Cloud- und Zugriffsverkehr.