Illustration Absmeier foto freepik

Ein neuartiges, getarntes und hartnäckiges PhaaS-Kit stiehlt Anmeldedaten und Authentifizierungs-Token von Microsoft 365-Nutzern, wie eine aktuelle Analyse von Barracuda zeigt [1]. Die Bedrohungsanalysten beobachten dieses neue und sich rasant weiterentwickelnde PhaaS-Kit seit Juli 2025 und haben es »Whisper 2FA« getauft. Im vergangenen Monat hat Barracuda fast eine Million Whisper 2FA-Angriffe auf Konten im Rahmen von mehreren groß angelegten Phishing-Kampagnen identifiziert. Damit ist Whisper 2FA nach Tycoon und EvilProxy das am dritthäufigsten genutzte PhaaS-Kit.

Die technische Analyse von Whisper 2FA durch die Experten zeigt, dass das PhaaS-Kit sowohl technisch ausgereift als auch flexibel in seiner Funktionsweise ist. Die innovativen Funktionen des Kits umfassen kontinuierliche Schleifen zum Stehlen von Authentifizierungs-Token, mehrere Tarnungsebenen und ausgefeilte Verschleierungstaktiken, um eine Analyse des schädlichen Codes und der gestohlenen Daten zu verhindern. Whisper 2FA entwickelt sich zudem rasant weiter und stellt damit eine signifikante Bedrohung für Unternehmen dar.

Die wichtigsten Merkmale von Whisper 2FA umfassen:

Kontinuierliche Schleifen zum Stehlen von Anmeldedaten:
Whisper 2FA kann den Diebstahl von Anmeldedaten für ein Konto so lange versuchen, bis dieser erfolgreich ist und die Angreifer ein funktionierendes Multi-Faktor-Authentifizierungs-Token (MFA) erhalten. Für Sicherheitsverantwortliche bedeutet dies, dass selbst abgelaufene oder falsche Tokens den Angriff nicht stoppen, da das Phishing-Kit das Opfer so lange auffordert, seine Daten erneut einzugeben und ein neues Token anzufordern, bis die Angreifer ein funktionierendes Token erhalten haben. Whisper 2FA wurde zudem so konzipiert, dass es sich an jede MFA-Methode anpassen kann, mit dem das Konto des potenziellen Opfers gesichert wird.

Ausgefeilte Verschleierungstaktiken, um Erkennung und Analyse zu verhindern:
Diese Taktiken umfassen mehrere Tarnungsebenen, wie beispielsweise das Chiffrieren und Verschlüsseln von schädlichem Code, das Setzen von Fallen für Analyse-Tools und das Blockieren gängiger Tastaturkürzel, die zur Überprüfung verwendet werden. Dies erschwert es Sicherheitsforschern und -tools, die Aktivitäten von Whisper 2FA zu analysieren und verdächtige oder schädliche Aktivitäten automatisch zu erkennen.

Ein flexibles Phishing-Formular:
Das Phishing-Formular von Whisper 2FA sendet alle vom Opfer eingegebenen Daten an den Angreifer, unabhängig davon, welche Schaltfläche das Opfer anklickt. Die Daten werden dabei sofort verschlüsselt, sodass es für Sicherheitsverantwortliche schwierig ist, zu erkennen, dass Anmeldedaten gestohlen wurden.

Whisper 2FA entwickelt sich rasant weiter, sowohl hinsichtlich seiner technischen Komplexität als auch in Bezug auf die von dem Kit verwendeten Methoden, um eine Erkennung zu verhindern. Die Analyse durch Barracuda zeigt, dass frühere Varianten des Kits Textkommentare enthielten, die von den Entwicklern hinzugefügt wurden, ebenso wie einige Verschleierungs- und Anti-Analysetaktiken, die hauptsächlich darauf abzielen, das Rechtsklick-Kontextmenü zu deaktivieren, dass bei der Code-Überprüfung verwendet wird.

Die neuesten, von Barracuda beobachteten Varianten von Whisper 2FA enthalten keine solchen Kommentare. Außerdem weisen sie eine umfassendere und mehrschichtige Tarnung auf, ebenso wie neue Schutzmaßnahmen, um eine Analyse oder Manipulation des Kits zu erschweren. Dazu gehören Tricks zum Erkennen und Blockieren von Debugging-Tools, zum Deaktivieren von üblicherweise von Entwicklern genutzten Verknüpfungen sowie um Überprüfungs-Tools zum Absturz zu bringen. Diese Variante ermöglicht Angreifern auch die Validierung von Authentifizierungs-Tokens in Echtzeit über ein Befehls- und Kontrollsystem.

»Die Merkmale und Funktionen von Whisper 2FA verdeutlichen noch einmal, wie sich Phishing-Kits von einfachen Tools zum Stehlen von Anmeldedaten zu komplexen, vollwertigen Angriffsplattformen entwickelt haben«, sagt Saravanan Mohankumar, Manager im Threat Analysis-Team bei Barracuda. »Durch eine Kombination von Echtzeit-MFA-Abfangtechniken, mehrschichtiger Tarnung und Anti-Analysetaktiken erschwert es Whisper 2FA sowohl Nutzern als auch Sicherheitsteams, Betrugsversuche zu erkennen. Um sich trotzdem erfolgreich zu schützen, müssen Unternehmen sich von statischen Abwehrmaßnahmen verabschieden und stattdessen mehrschichtige Strategien anwenden: Schulungen für Nutzer, Phishing-resistente MFA, kontinuierliche Überwachung und Austausch von Informationen über Cyberbedrohungen.«

Die Analyse von Whisper 2FA durch Barracuda zeigt Ähnlichkeiten mit Salty 2FA, einem neuen PhaaS-Kit mit einem Fokus auf Diebstahl von Microsoft 365-Anmeldedaten, über das AnyRun kürzlich berichtet hat. Whisper 2FA weist zudem bemerkenswerte Unterschiede zu älteren, etablierten Wettbewerbern wie EvilProxy auf, insbesondere hinsichtlich einem vereinfachten Anmeldedatendiebstahl, der mit Whisper 2FA schwieriger zu erkennen ist.

[1] https://blog.barracuda.com/2025/10/15/threat-spotlight-stealthy-phishing-kit-microsoft-365

Was kann man gegen Phishing von MFA unternehmen

Phishing‑Angriffe, die Multi‑Factor‑Authentication (MFA) umgehen, nutzen inzwischen Reverse‑Proxy/AiTM‑Kits, gefälschte OAuth‑Apps, Push‑Bombing und Social‑Engineering‑Tricks; Abwehr muss technisch, organisatorisch und auf Nutzerverhalten abzielen.

Technische Maßnahmen (Priorität hoch)

Phishing‑resistente Authentifizierung einführen
Setze FIDO2/Passkeys, Hardware‑Security‑Keys und plattformbasierte kryptografische Anmeldungen statt SMS, E‑Mail‑OTPs oder einfachen App‑Pushs ein.
OAuth‑App‑Kontrollen und Berechtigungsprüfung erzwingen
Whiteliste vertrauenswürdige OAuth‑Ziele, blockiere inaktive oder nicht genehmigte Third‑Party‑Apps und überwache Grant‑Events in Echtzeit.
Conditional Access und Risiko‑Signale nutzen
Erzwinge bedingten Zugriff basierend auf Gerät, Standort, Anomalien und Session‑Risiken; erhöhe Hürden bei ungewöhnlichen Kontexten.
Session‑ und Token‑Hardening
Verkürze Lebenszeit kritischer Tokens, setze Audience/Issuer‑Checks ein und implementiere Bindung von Tokens an Gerät/Client, um Session‑Hijacking zu erschweren.

Prozess‑ und Detektionsmaßnahmen

Real‑time Threat Detection
Implementiere Proxy‑ und Gateway‑Erkennung für AiTM‑Angriffe, analysiere Login‑Flows auf ungewöhnliche Loops und blocke bekannte Phishing‑Kit‑Indikatoren.
Monitoring von Consent/Grant‑Events
Logge und alarme bei neuer App‑Autorisierung, umfangreichen Berechtigungsanfragen oder atypischen Grant‑Mustern.
Rapid‑Response Playbooks
Definiere Eskalationspfade: sofortiges Token‑Revocation, Zwangspasswortwechsel, Entzug OAuth‑Grants und forensische Session‑Analyse.

Nutzerorientierte Schutzmaßnahmen

MFA‑Usability verbessern, aber sicher
Ersetze leicht zu missbrauchende Push‑Buttons durch erklärbare, phishing‑resistente Alternativen; zeige beim Authentifizierungsdialog klar, welche Ressource authorisiert wird.
Gezielte Awareness‑Trainings
Simulationen mit AiTM‑Szenarien, Erkennung gefälschter OAuth‑Prompts und Verhalten bei Push‑Anfragen. Trainings müssen wiederholt und praxisnah sein.
Regel für Genehmigungsanfragen
Nutzer dürfen keine wiederkehrenden oder unerwarteten MFA‑Anfragen bestätigen; bei Unsicherheit gilt Ablehnen und IT‑Sicherheits‑Helpdesk informieren.

Organisatorische Maßnahmen & Richtlinien

Zero Trust Identity Governance
Identitäten segmentieren, Least Privilege für Apps und Dienstkonten durchsetzen und automatisierte Reviews für privilegierte Berechtigungen implementieren.
Service‑Account‑Härtung
Automatisierte Accounts auf managed Workload‑Identities migrieren und persönliche MFA für systemnahe Konten verbieten.
Threat Intelligence Sharing
Austausch über beobachtete Phishing‑Kits und IoCs mit CERTs, Branchen‑ISACs und Security‑Partnern.

Kurzfristige Notfallmaßnahmen (wenn Verdacht besteht)

Alle Sessions invalidieren und kritische Tokens sofort widerrufen.
OAuth‑Grants für betroffene Nutzer zurückziehen.
Passwörter/Anmeldedaten zurücksetzen und MFA neu einrichten mit phishingsicheren Methoden.
Forensische Logs sichern und Angriffsvektor analysieren.

KPI‑Set zur Messung der Wirksamkeit

Anteil Konten mit phishingsicherer MFA (FIDO2/Passkeys).
Anzahl geblockter/erkennter AiTM‑Versuche pro Monat.
Zeit bis zur Token‑Revocation nach Incident.
Anzahl ungeplanter OAuth‑Grants pro Quartal.

Albert Absmeier & KI

Quellen: Analyse zu modernen AiTM‑/Phishing‑Kits und Empfehlungen zu Phishing‑resistenter MFA.

1 ap-verlag.de

2 Security-Insider

3 Microsoft Learn

1441 Artikel zu „Phishing MFA“

News | IT-Security | Strategien | Tipps

Phishing: Weshalb traditionelle MFA kein Sicherheitsnetz bietet

16. Mai 2023

Passwörter werden in der IT seit mehr als 60 Jahren verwendet, doch mittlerweile sind sie selbst zur Schwachstelle geworden – Kriminelle knacken sie, greifen sie ab und stehlen sie tagein tagaus. Phishing zählt hierbei zu einer der beliebtesten Angriffsmethoden von Cyberkriminellen, um an Anmeldedaten zu gelangen. Phishing-Angriffe erfolgen in der Regel in Form betrügerischer Nachrichten…