Phishing-Kampagne EvilTokens

Neue Ghost-Phishing-Welle umgeht E-Mail-Schutz

Phishing, Telekopye, Telegram

Die neue Phishing-Methode EvilTokens verschlüsselt Schadcode mit AES-GCM. Traditionelle E-Mail-Filter erkennen die Angriffe auf Microsoft 365 nicht.

Eine neue Phishing-Welle namens EvilTokens nimmt gezielt Unternehmen in den USA und Europa ins Visier. Bei dieser als Ghost Phishing bezeichneten Methode bleibt die schadhafte Webseite während der initialen Überprüfung durch traditionelle E-Mail-Sicherheitslösungen unsichtbar. Der Grund hierfür ist eine AES-GCM-Verschlüsselung des HTML-Codes. Die Entschlüsselung und das Laden der eigentlichen Phishing-Inhalte im Document Object Model (DOM) erfolgen erst direkt im Webbrowser des Opfers. Statische URL-Prüfungen und netzwerkbasierte Kontrollen erfassen dadurch nur die harmlose erste Antwort des Servers, während der eigentliche Angriff im Hintergrund verborgen bleibt.

Anzeige

Hohe Betroffenheit in verschiedenen Wirtschaftsbranchen

Das primäre Ziel der Angreifer ist die Übernahme von Microsoft 365-Konten. Dabei nutzen die Täter das sogenannte Microsoft Device Code Phishing. Die Opfer werden dazu verleitet, einen legitimen Anmeldevorgang von Microsoft zu durchlaufen und den Zugriff auf ihre Konten zu autorisieren, ohne dass Passwörter direkt gestohlen werden müssen. Laut Daten des IT-Sicherheitsunternehmens ANY.RUN sind im Jahr 2026 bestimmte Branchen besonders stark von solchen Phishing-Angriffen betroffen:

  • Beratung: 75,6 Prozent
  • Finanzdienstleistungen: 72,8 Prozent
  • Fertigungsindustrie: 71,9 Prozent
  • Technologie: 67,9 Prozent
  • Bankenwesen: 66,7 Prozent
  • Managed Security Service Provider (MSSPs): 66,1 Prozent

Analyse der Angriffe in der Sandbox

Die genaue Funktionsweise der EvilTokens-Kampagne wurde mithilfe einer interaktiven Sandbox-Umgebung entschlüsselt. Durch die Analyse des Verhaltens auf Browser-Ebene lässt sich dokumentieren, wie der verborgene Code nach der Entschlüsselung im DOM erscheint. Die Untersuchung zeigt zudem die Backend-Kommunikation auf, bei welcher der Microsoft-Gerätecode an den Endpunkt /api/device/start übermittelt wird. Auf Basis dieser Erkenntnisse lassen sich automatisierte Berichte und Verhaltensindikatoren erstellen, um die betroffene Infrastruktur zu blockieren und die Reaktionszeit bei der Eindämmung von kompromittierten Konten zu verkürzen.

(red)

Anzeige
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.