Microsoft hat dargelegt a large-scale phishing campaign , dass mehrstufige Techniken verwendet wurden, um Benutzersitzungen zu kompromittieren und die Multi-Faktor-Authentifizierung zu umgehen, was eine zunehmende Hinwendung zu tokenbasierten Angriffen unterstreicht.
Laut dem Threat Intelligence-Team von Microsoft richtete sich die Kampagne innerhalb eines kurzen Zeitfensters zwischen dem 14. und 16. April 2026 an mehr als 35.000 Nutzer in über 13.000 Organisationen in 26 Ländern. Die Mehrheit der Ziele befand sich in den Vereinigten Staaten, wobei Sektoren wie Gesundheitswesen, Finanzen und Technologie stark betroffen waren.
Der Angriff stützte sich auf einen “Verhaltenskodex”-Lockvogel, bei dem Opfer Phishing-E-Mails erhielten, die sie aufforderten, arbeitsbezogene Richtlinien zu überprüfen oder anzuerkennen. Diese Nachrichten waren so gestaltet, dass sie legitim erscheinen, und wurden in mehreren Wellen verteilt, um die Wirksamkeit zu erhöhen.
Sobald ein Ziel angegriffen war, verlief die Operation in mehreren Phasen. Die Opfer wurden durch eine Kette schädlicher Infrastruktur weitergeleitet, bevor sie schließlich auf einer Phishing-Seite landeten, die darauf ausgelegt war, Zugangsdaten zu erfassen. Die Kampagne blieb jedoch nicht beim Passwortdiebstahl stehen. Stattdessen nutzten Angreifer Angreifer-in-der-Mitte-Techniken, um Authentifizierungsdaten in Echtzeit abzufangen.
Diese Methode ermöglichte es Bedrohungsakteuren, Sitzungstoken zu erhalten, wodurch der Kontozugriff ohne weitere Zugangsdaten möglich war. Ein solcher Token-Diebstahl ist besonders bedeutend, da er Multi-Faktor-Authentifizierungsschutzmaßnahmen umgehen kann, die typischerweise darauf ausgelegt sind, unbefugte Anmeldungen zu verhindern.
Microsoft stellte fest, dass die Kampagne die Reverse-Proxy-Infrastruktur nutzte, um zwischen Nutzern und legitimen Login-Diensten zu sitzen. Dieses Setup ermöglichte es Angreifern, Authentifizierungscookies zu erfassen und auch nach dem initialen Kompromittieren dauerhaften Zugriff aufrechtzuerhalten.
Das mehrstufige Design beinhaltete auch Ausweichtaktiken. Die Angriffsinfrastruktur passt sich dynamisch an Nutzerinteraktionen und Umweltprüfungen an und verringert so die Wahrscheinlichkeit einer Entdeckung durch Sicherheitswerkzeuge. In einigen Fällen wurden Phishing-Inhalte selektiv basierend auf den Zielbedingungen angezeigt, was die Exposition für Forscher und automatisierte Abwehrmechanismen einschränkte.
Forscher betonten, dass sich die Kampagne nicht auf eine einzelne Branche konzentrierte, sondern stattdessen eine breite Palette von Organisationen ansprach. Dieser umfassende Ansatz spiegelt eine Verschiebung hin zu skalierbaren Phishing-Operationen wider, die Volumen und Automatisierung gegenüber hochgezielten Angriffen priorisieren.
Die Ergebnisse zeigen einen breiteren Trend bei Cyberbedrohungen. Angreifer gehen zunehmend über den Diebstahl von Zugangsdaten hinaus hin zu Sitzungsentführungen und identitätsbasierten Angriffen. In diesen Szenarien reichen traditionelle Verteidigungen wie Passwort-Zurücksetzungen möglicherweise nicht aus, da gestohlene Token weiterhin Zugriff gewähren können, wenn sie nicht widerrufen werden.
Microsoft rät Organisationen, die Identitätsschutzmaßnahmen zu verstärken, einschließlich der Überwachung verdächtiger Sitzungsaktivitäten, der Implementierung von Conditional-Access-Richtlinien und der schnellen Token-Entnahme als Reaktion auf mögliche Kompromittierungen.
Die Kampagne zeigt, wie sich Phishing-Operationen weiterentwickeln, indem sie Social Engineering mit fortschrittlicher Infrastruktur kombiniert, um etablierte Sicherheitskontrollen zu umgehen und langfristigen Zugriff auf kompromittierte Konten zu erhalten.