PhishingCyberkriminalitätDatenschutz

Bubble-Plattform wird für Phishing-Anschläge auf Microsoft-Konten missbraucht

Bubble-Plattform wird für Phishing-Anschläge auf Microsoft-Konten missbraucht
Zusammenfassung

# Phishing-Kampagnen missbrauchen Bubble-Plattform zur Überwindung von Sicherheitsfiltern Cyber-Kriminelle haben eine neue Methode entwickelt, um Microsoft-Anmeldedaten zu stehlen: Sie nutzen die No-Code-Plattform Bubble, um bösartige Web-Apps zu erstellen und zu hosten, die von E-Mail-Sicherheitslösungen nicht erkannt werden. Da die Apps auf der legitimen Bubble-Infrastruktur (*.bubble.io) gehostet werden, stufen Sicherheitsfilter die Links nicht als potenziell gefährlich ein. Kaspersky-Sicherheitsforscher berichten, dass Angreifer diese Methode als Zwischenschritt nutzen, um Nutzer zu gefälschten Microsoft-Login-Seiten weiterzuleiten – teilweise hinter einer Cloudflare-Überprüfung verborgen. Die eingegebenen Anmeldedaten werden dann abgefangen und für den Zugriff auf Microsoft-365-Konten missbraucht. Das Problem verschärft sich dadurch, dass die von Bubble generierten JavaScript-Codes bewusst komplex strukturiert sind und automatisierte Analyse-Tools nicht als malicious erkennen. Kaspersky warnt, dass diese Taktik schnell von Phishing-as-a-Service-Plattformen übernommen werden könnte – was insbesondere deutsche Unternehmen und Behörden bei ihren Cybersicherheitsmaßnahmen berücksichtigen sollten.

Die neuentdeckte Angriffsmethode funktioniert nach einem durchdachten Schema: Threat Actor erstellen zunächst legitime Bubble-Apps, die auf den ersten Blick wie normale, funktionsfähige Webanwendungen wirken. Diese Apps bestehen aus massiven JavaScript-Bundles und komplex verschachtelten Shadow-DOM-Strukturen, die sowohl von automatisierten Analysetools als auch von manuellen Überprüfungen schwer zu durchschauen sind. “Der von dieser No-Code-Plattform generierte Code ist ein undurchschaubares Durcheinander aus JavaScript und isolierten Shadow-DOM-Strukturen”, erklärt Kaspersky. “Selbst für Experten ist es auf den ersten Blick schwierig zu verstehen, was dort passiert – man muss sich wirklich durcharbeiten, um den Zweck zu erkennen.”

Diese Unlesbarkeit ist kein Zufall, sondern ein gezielter Vorteil für Angreifer: Automatisierte Web-Code-Analysen werden regelmäßig getäuscht und klassifizieren die Seiten als legitim und funktionsfähig. Dadurch umgehen die Phishing-Apps die Erkennungsmechanismen von E-Mail-Sicherheitslösungen problemlos.

Das besondere Risiko liegt in der Skalierbarkeit dieser Methode. Kaspersky warnt, dass die Taktik sehr wahrscheinlich von Phishing-as-a-Service-Plattformen (PhaaS) übernommen und in bestehende Phishing-Kits integriert werden wird, die von Cyberkriminellen weltweit verwendet werden. Diese kommerziellen Phishing-Plattformen bieten bereits ausgefeilte Funktionen wie Session-Cookie-Diebstahl, Adversary-in-the-Middle-Angriffe (AiTM) zur Umgehung von Zwei-Faktor-Authentifizierung und KI-generierte E-Mail-Inhalte. Der Missbrauch von legitimen Plattformen wie Bubble würde ihre Effektivität noch erheblich steigern.

Bislang hat sich Bubble zu den Vorwürfen nicht öffentlich geäußert. Das Unternehmen hat auf Anfragen von BleepingComputer zur Stellungnahme und zu geplanten Schutzmaßnahmen gegen Missbrauch nicht reagiert.

Für deutsche Nutzer und Unternehmen ergibt sich aus diesen Erkenntnissen eine klare Empfehlung: Besondere Vorsicht bei unerwarteten Microsoft-Login-Aufforderungen, Verifizierung von Links über Hover-Vorschau und regelmäßige Überprüfung der Account-Aktivitäten sind essentiell. Gleichzeitig sollten Organisationen ihre E-Mail-Security-Lösungen überprüfen und darauf achten, dass diese auch legitime Domains auf verdächtige Inhalte untersuchen können.

Ähnliche Artikel