PhishingSchwachstellenCyberkriminalität

Device Code Phishing: Massive Angriffswelle auf über 340 Microsoft-365-Organisationen

Device Code Phishing: Massive Angriffswelle auf über 340 Microsoft-365-Organisationen
Zusammenfassung

Eine aktuelle Cyber-Kampagne bedroht Microsoft 365-Nutzer weltweit, darunter auch in Deutschland. Sicherheitsforscher haben eine massive Device-Code-Phishing-Welle dokumentiert, die über 340 Organisationen in den USA, Kanada, Australien, Neuseeland und Deutschland ins Visier genommen hat. Die Angreifer nutzen eine sophistizierte OAuth-Missbrauch-Technik, um sich persistenten Zugriff auf Microsoft 365-Konten zu verschaffen – selbst nach einem Passwort-Reset bleiben die gestohlenen Token gültig. Die Kampagne, die Anfang Februar 2026 begann, nutzt Phishing-E-Mails mit gefälschten Landing Pages, die Nutzer zur legitimen Microsoft-Authentifizierung locken. Besonders tückisch ist die Nutzung von vertrauenswürdigen Diensten wie Cloudflare Workers und Railway als Infrastruktur. Zielgruppen sind Organisationen aus Bauwesen, Non-Profit-Sektor, Immobilien, Finanzen, Gesundheit und Behörden. Experten haben die Kampagne einer neuen „Phishing-as-a-Service"-Plattform namens EvilTokens zugeordnet. Deutsche Unternehmen und Behörden sollten sofort ihre Sign-in-Logs prüfen, alle Refresh-Token widerrufen und Zugriffer von Railway-IPs blockieren.

Die Sicherheitsforschung zeigt ein alarmierendes Bild: Device Code Phishing hat sich zu einer der gefährlichsten Angriffsmethoden gegen Cloud-Infrastruktur entwickelt. Anders als klassisches Phishing, das nur auf kurzfristige Passwort-Kompromittierung abzielt, ermöglicht diese Technik Angreifern, langfristige Zugriffsrechte zu erlangen – unabhängig von Passwortänderungen des Opfers.

Die technische Funktionsweise ist perfid: Opfer werden per Phishing-E-Mail auf eine täuschend echt aussehende Seite gelockt, die sie auffordert, einen Geräte-Code in Microsofts legitimen Authentifizierungsendpunkt einzugeben. Sobald das Opfer sich authentifiziert, generiert dies OAuth-Token, die der Angreifer mit Kenntnis des ursprünglichen Gerätecodes abrufen kann. Diese Token sind danach nahezu unmöglich nachzuverfolgen und bleiben selbst nach Passwortänderungen gültig.

Besonders raffiniert ist die Infrastruktur hinter der Attacke. Die Angreifer nutzen Cloudflare Workers, um legitime Sicherheitsdienste von Cisco, Trend Micro und Mimecast als Umleitungshops zu missbrauchen. Dies täuscht Spamfilter und Sicherheitssysteme ebenso wie Nutzer. Die gehostete Infrastruktur läuft auf Railway, einem Platform-as-a-Service-Angebot, das offenbar als Credential-Harvesting-Engine missbraucht wird.

Huntress hat die Kampagne einem neuen Phishing-as-a-Service-Angebot namens “EvilTokens” zugeordnet, das erst im Januar 2026 auf Telegram debütierte. Das Angebot ist erschreckend professionell: 24/7-Kundensupport, automatisierte Code-Generierung und Feedback-Kanäle deuten auf ein etabliertes kriminelles Geschäftsmodell hin.

Parallel warnte Palo Alto Networks Unit 42 vor einer ähnlichen Kampagne mit zusätzlichen Anti-Analyse-Techniken. Die Phishing-Seiten deaktivieren Rechtsklick-Funktionen, blockieren Entwickler-Tools und nutzen Heuristiken, um aktive Debugging-Sessions zu erkennen. Dies erschwert sowohl der technischen Sicherheit als auch Sicherheitsforschern die Analyse erheblich.

Für deutsche Unternehmen sind sofortige Maßnahmen erforderlich: Überprüfung von Sign-in-Logs auf Railway-IP-Adressen, Widerruf aller Refresh-Token bei betroffenen Nutzern und Blockade von Authentication-Versuchen aus Railway-Infrastruktur. Die Tatsache, dass diese Kampagne in fünf Ländern gleichzeitig läuft und mehrere russisch-ausgerichtete Hackergruppen (Storm-2372, APT29) beteiligt sind, unterstreicht die Schwere der Bedrohung.

Ähnliche Artikel