Den Kern der Methode bildet die Tarnung über eine vertrauenswürdige Infrastruktur. Die mit Bubble erstellten Apps werden auf der Infrastruktur des Anbieters unter *.bubble.io gehostet – einer Domain, die bei E-Mail-Sicherheitslösungen kaum Warnungen auslöst. Dadurch erreichen die Links ihre Empfänger, ohne als Bedrohung markiert zu werden.
Um automatisierte Prüfungen zu unterlaufen, erstellen die Angreifer laut Kaspersky Bubble-Apps mit großen, komplexen JavaScript-Bündeln und stark verschachtelten Shadow-DOM-Strukturen. Diese werden von statischen und automatisierten Analysewerkzeugen weder als Weiterleitungsskripte erkannt noch als bösartig eingestuft.
„Der von dieser No-Code-Plattform erzeugte Code ist ein riesiges Durcheinander aus JavaScript und isolierten Shadow-DOM-Strukturen", erklärt Kaspersky. Selbst für einen Fachmann sei auf den ersten Blick schwer zu erfassen, was dort geschehe; man müsse sich erst durch den Code arbeiten, um Funktionsweise und Zweck zu verstehen. Automatisierte Analysealgorithmen kämen damit noch schlechter zurecht und gelangten häufig zu dem Schluss, es handle sich lediglich um eine funktionierende, nützliche Seite.
Über diese Apps werden Nutzer auf die eigentliche Phishing-Seite weitergeleitet, die oft ein Microsoft-Anmeldeportal nachbildet und teils hinter einer Cloudflare-Prüfung liegt. Eingegebene Zugangsdaten landen bei den Tätern, die damit Zugriff auf E-Mail, Kalender und weitere Daten von Microsoft-365-Konten erlangen können.
Die Forscher warnen, dass der Missbrauch KI-gestützter App-Baukästen zur Tarnung sehr wahrscheinlich von Phishing-as-a-Service-Plattformen (PhaaS) übernommen und in weit verbreitete Phishing-Kits integriert wird, die auch von weniger versierten Kriminellen genutzt werden. Solche Plattformen bieten bereits Diebstahl von Sitzungs-Cookies, Adversary-in-the-Middle-Ebenen (AiTM) zur Umgehung der Zwei-Faktor-Authentifizierung, Geofencing, Anti-Analyse-Tricks und KI-generierte E-Mail-Inhalte; der Missbrauch legitimer Plattformen erhöht die Tarnung dieser Angriffe zusätzlich.
BleepingComputer hat Bubble um eine Stellungnahme zu den Erkenntnissen von Kaspersky und zu möglichen Plänen für stärkere Schutzmaßnahmen gegen Missbrauch gebeten, bis zum Redaktionsschluss jedoch keine Antwort erhalten.
