Steven Campbell, Staff Threat Intelligence Researcher bei Arctic Wolf, ordnete kürzlich die FBI-Warnung vor „Kali365“, eine Kampagne, die sich mittlerweile vom Phishing-Kit zu einer umfassenderen Phishing-as-a-Service-Plattform entwickelt hat, und aktuelle Entwicklungen rund um moderne Phishing-Angriffe ein. Kali365 war zunächst dadurch aufgefallen, dass sie den OAuth-Device-Authorization-Flow von Microsoft ausnutzte, um Authentifizierungs-Tokens zu stehlen und Multi-Faktor-Authentifizierung zu umgehen.
Nun konnte Arctic Wolf eine erhebliche Ausweitung der Phishing-as-a-Service-(PhaaS)-Kampagne beobachten.
Neue Erkenntnisse in puncto Kali365 im Überblick:
- Arctic-Wolf-Researcher identifizierten einen Cluster aus 126 Hosts, die dieselbe Phishing-Kit-Infrastruktur bereitstellen. Dies deutet auf eine deutlich größere Kampagne hin als bislang dokumentiert und zeigt die Fähigkeit der Bedrohungsakteure, Domains und Phishing-Köder schnell auszutauschen.
- Die Kampagne imitiert inzwischen zahlreiche bekannte Unternehmen und Services, darunter Outlook, Live, Okta, Xerox Docushare, GMX, Mail.ru, Yandex Disk, Odnoklassniki sowie AWS-ähnliche Dienste.
- Es wurde eine aktive Account-Takeover-Kampagne gegen MAX-Messenger, einer von der russischen Regierung unterstützte Messaging-Plattform (vergleichbar mit dem populären chinesischen Dienst WeChat), entdeckt. Opfer werden über gefälschte Seiten zur Preisverifizierung dazu verleitet, Telefonnummern, SMS-Codes und 2FA-Zugangsdaten preiszugeben.
- Das Phishing-Kit für MAX-Messenger exfiltriert Daten der Angriffsopfer über Telegram-Bots in Echtzeit. Dies verdeutlicht die fortschreitende Konvergenz von Phishing-as-a-Service-Operationen und Telegram-basierten Cybercrime-Ökosystemen.
- Die Erkenntnisse legen nahe, dass sich der Betreiber von einem einzelnen Phishing-Kit zu einer umfassenderen Phishing-as-a-Service-Plattform entwickelt hat, die sowohl Unternehmens- als auch Privatnutzerinnen und -nutzer in verschiedenen Regionen gezielt angreifen kann.
Info: Weitere Details zum Thema finden sich hier im Arctic-Wolf-Blogpost: https://arcticwolf.com/resources/blog/kali365-expands-into-aws-microsoft-okta-xerox-max-messenger/
#ArcticWolf
