Nach Angaben von Okta beginnt der Angriff mit einem Anruf. Die Opfer werden dabei auf präparierte Domains gelotst, die das Wort „passkey“ enthalten und den Eindruck erwecken sollen, ein neuer Passkey müsse registriert werden. Die dazugehörigen Seiten bilden den Microsoft-Prozess zur Passkey-Einrichtung eng nach.
Okta beschreibt die Kampagne als gezielt darauf ausgelegt, den Nutzern vorzutäuschen, sie würden gerade einen Passkey bei Microsoft einrichten, während der Angreifer im Hintergrund seinen eigenen Passkey im Microsoft-Konto des Opfers registriert. Die gefälschten Microsoft-Entra-ID-Seiten werden laut dem Unternehmen für jedes Opfer individuell aus dem Backend des Phishing-Kits angepasst. Dabei nutzen sie legitimes Branding und laden Inhalte über Microsofts Content-Delivery-Network.
Technisch unterscheidet sich das Werkzeug von vielen anderen Phishing-Kits. Es handelt sich laut Okta um ein bedienergesteuertes PHP-Panel, das Zugangsdaten, MFA-Tokens und Sitzungstokens nicht automatisiert einsammelt. Stattdessen führt ein Operator das Opfer nahezu in Echtzeit durch mehrere Anmeldeschritte und passt Inhalte sowie Benachrichtigungen während der Sitzung an die jeweils geforderte Multi-Faktor-Authentifizierung an.
Im Ablauf der Angriffe prüfen die Phishing-Seiten zunächst, ob Analysemechanismen aktiv sind. Danach fordern sie einen Benutzernamen an, ohne an einen föderierten Identitätsanbieter weiterzuleiten, und verlangen anschließend das Passwort. Okta geht davon aus, dass der Operator dieses Passwort unmittelbar nutzt, um sich parallel im Konto des Opfers anzumelden.
Anschließend sieht das Opfer eine Verarbeitungsseite, während der Operator laut Okta wahrscheinlich prüft, welche MFA-Methode für das Konto aktiviert ist. Danach wird dem Opfer je nach Fall eine passende Oberfläche präsentiert, etwa für SMS-Einmalcodes, TOTP oder Push-MFA. Im nächsten Schritt folgt entsprechend der Lockgeschichte eine Seite zur Passkey-Registrierung. Dort sollen Nutzer einen Wiederherstellungsschlüssel aus einer Liste von BIP-39-Phrasen speichern, die unter Kontrolle des Angreifers stehen. Danach werden sie aufgefordert, das letzte Wort der Seed-Phrase zu bestätigen.
Gerade dieser Teil nutzt nach Einschätzung von Okta aus, dass viele Nutzer mit Passkey-Verfahren noch wenig vertraut sind. Bei einer echten Passkey-Registrierung würde typischerweise ein Systemdialog erscheinen, um einen Passkey auf dem eigenen Gerät zu registrieren. Die in diesem Kit verwendeten Seiten ahmen diesen Vorgang laut Okta lediglich nach, ohne tatsächlich auf dem Gerät des Nutzers einen Passkey einzurichten.
Eine direkte Funktion der BIP-39-Seed-Phrasen in Microsoft Entra sieht Okta nicht. Das Unternehmen hält es für möglich, dass dieser Schritt als Ablenkung dient, während im Hintergrund bereits ein vom Angreifer kontrollierter Passkey im Konto hinterlegt wird. Hinzu kommt: Immer wenn ein Nutzer bei Microsoft einen Passkey registriert, erhält der Inhaber des kompromittierten Kontos laut Okta eine legitime Microsoft-E-Mail über die neue Registrierung. Da der Passkey im Angriff direkt bei Microsoft durch den Angreifer angelegt werde, könne dieser ihn zudem so benennen, dass die Bezeichnung für das Opfer harmlos wirkt.
