KnowBe4 Threat Labs – hochentwickelte mehrstufige Phishing-Kampagne aufgespürt

Seit dem 3. November 2025 beobachtet KnowBe4 Threat Labs eine hochentwickelte mehrstufige Phishing-Kampagne über die Angreifer versuchen, Microsoft 365-Anmeldedaten von Unternehmensmitarbeitern zu stehlen. Die Kampagne ist hochentwickelt. Sie wurde so konzipiert, dass sie herkömmliche E-Mail-Sicherheitsmaßnahmen, wie Secure Email Gateways (SEGs) und Multi-Faktor-Authentifizierungs-Tools (MFA), umgehen kann.

Die Phishing-Kampagne beinhaltet mehrere fortschrittliche technische Maßnahmen, mit denen sich die bösartige Nutzlast erfolgreich vor herkömmlichen Abwehrmaßnahmen verbergen lässt.

Zunächst erhalten die Opfer eine Phishing-E-Mail. Die Nutzlast – ein Phishing-Hyperlink – ist auf ihr in „verschachtelten” PDF-Anhängen versteckt. Wenn ein Opfer den ersten Anhang der Phishing-E-Mail öffnet, sieht es ein gerendertes Dokument mit einem weiteren Hyperlink, auf den es klicken kann. Sobald es auf diesen Hyperlink klickt, wird er zu einem zweiten Dokument weitergeleitet, das einen weiteren Hyperlink enthält. Diese Schichtung von PDF-Anhängen dient dazu, das endgültige Ziel – die eigentliche Phishing-Webseite – vor den Sicherheitstools des Opfers zu verbergen. Aufgrund technischer Einschränkungen oder Service Level Agreements (SLAs) für die E-Mail-Zustellung (Latenz) können diese keine aufeinanderfolgenden Sprünge zwischen den verschiedenen Hyperlinks durchführen. Zusätzlich wird die schädliche Nutzlast durch legitime und vertrauenswürdige CDN-Dienste maskiert, die bei der Überprüfung durch Sicherheits-Tools als „harmlos“ erscheinen.

Wenn nun ein Opfer alle Sprünge durch die verschachtelten PDF-Dokumente absolviert hat, wird es zu einer gefälschten Microsoft 365-Anmeldeseite weitergeleitet – das eigentliche Ziel. Hier werden die Opfer dann dazu gebracht, ihre Microsoft 365-Anmeldedaten einzugeben.

Bei einer eingehenden Analyse der Fake-Anmeldeseiten stellten die Forscher von KnowBe4 fest, dass diese insgesamt neun unterschiedliche fortgeschrittene Techniken zur Umgehung von Aufspürmaßnahmen enthält. Darüber hinaus entdeckten sie, dass die Phishing-Kampagne die Fähigkeit besitzt, MFA-Kontrollen in Echtzeit zu umgehen. Die Angreifer erhalten sofortigen und vollständigen Zugriff auf die Microsoft 365-Umgebungen ihrer Opfer – und damit auch: auf die ihrer Arbeitgeber.

Unternehmen können nun mehrere Maßnahmen ergreifen, ihre Mitarbeiterkonten vor den Angreifern dieser Kampagne zu schützen. Sie können:

• ihre E-Mail-Sicherheit verbessern – zum Beispiel durch Implementierung eines fortschrittlichen Cloud-E-Mail-Sicherheitsprodukts (ICES),
• ihre E-Mail-Filterregeln anpassen,
• Ihre Indikatoren für Kompromittierungen blockieren (IoCs),
• ihre letzten MFA-Authentifizierungen auf verdächtige Muster überprüfen und
• das Sicherheitsbewusstsein ihrer Mitarbeiter schulen.

Am effektivsten – da umfassendsten – helfen kann Ihnen hierbei der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Bild/Quelle: https://depositphotos.com/de/home.html