Device Code Phishing: KI-Kampagne eskaliert

Einführung

Microsoft hat eine bedeutende Weiterentwicklung von Device Code Phishing offengelegt und zeigt, wie Angreifer generative KI, Automatisierung und cloudgehostete Infrastruktur kombinieren, um Microsoft-Konten in großem Maßstab zu kompromittieren. Für Security-Teams und Microsoft 365-Administratoren ist das relevant, weil die Kampagne legitime Authentifizierungsabläufe ins Visier nimmt, statt Passwörter direkt zu stehlen, was die Erkennung mit traditionellen Kontrollen erschwert.

Was ist neu an dieser Kampagne?

Laut Microsoft Defender Security Research baut die Aktivität auf früheren Taktiken rund um Device Code Phishing auf, ergänzt diese jedoch um mehrere wichtige Fortschritte:

• KI-gestützte Phishing-Köder: Angreifer nutzten generative KI, um hochgradig personalisierte E-Mails zu erstellen, die auf Rollen und Geschäftsszenarien wie Rechnungen, RFPs und Fertigungsabläufe zugeschnitten waren.
• Dynamische Device-Code-Erstellung: Statt auf vorab generierte Codes zu setzen, die nach 15 Minuten ablaufen, wird der Device Code erst erstellt, wenn der Benutzer auf den Phishing-Link klickt.
• Automatisierte Cloud-Infrastruktur: Threat Actors nutzten Plattformen wie Railway, Vercel, Cloudflare Workers und AWS Lambda, um kurzlebige Infrastruktur und Redirect-Ketten bereitzustellen.
• Unauffälliger Datenverkehr: Redirects über vertrauenswürdige Cloud-Dienste helfen der Aktivität, einfache Blocklists und reputationsbasierte Abwehrmechanismen zu umgehen.
• Missbrauch von Tokens nach der Kompromittierung: Sobald ein Opfer den Device-Login-Flow abschließt, nutzen Angreifer das Token für E-Mail-Exfiltration, das Erstellen von Inbox-Regeln und Reconnaissance über Microsoft Graph.

Warum das anders ist

Traditionelles Phishing versucht in der Regel, Anmeldedaten abzugreifen. In diesem Fall bringt der Angreifer den Benutzer dazu, eine legitime Microsoft-Device-Login-Sitzung zu bestätigen, die der Angreifer selbst initiiert hat. Da die Authentifizierung auf Microsofts echter Device-Login-Seite stattfindet, sind Benutzer möglicherweise weniger misstrauisch, und MFA kann weniger wirksam sein, wenn die Sitzung nicht stark an den ursprünglichen Kontext gebunden ist.

Microsoft bringt diesen Trend außerdem mit EvilToken in Verbindung, einem Phishing-as-a-Service-Toolkit, das breiteren Missbrauch von Device Code vorantreibt. Der Einsatz von Automatisierung und KI markiert eine deutliche Eskalation gegenüber der im Jahr 2025 dokumentierten Storm-2372-Kampagne.

Auswirkungen auf IT-Administratoren

Security- und Identity-Teams sollten Folgendes erwarten:

• Überzeugendere Phishing-E-Mails, die auf hochwertige Benutzer abzielen
• Zunehmenden Missbrauch legitimer OAuth- und Microsoft-Sign-in-Flows
• Token-basierte Kompromittierung ohne Passwortdiebstahl
• Persistenz durch bösartige Inbox-Regeln und versteckte Mail-Weiterleitung
• Reconnaissance der Organisationsstruktur über Microsoft Graph

Empfohlene Maßnahmen

Administratoren sollten Microsofts Empfehlungen zur Risikominderung prüfen und priorisieren:

• Überwachung verdächtiger Aktivitäten bei der Device Code Authentication
• Untersuchung unerwarteter Inbox-Regeln und tokenbasierter Zugriffsmuster
• Härtung von Conditional Access- und Sign-in-Risikorichtlinien, wo möglich
• Schulung von Benutzern, unaufgeforderte Device-Login-Aufforderungen als verdächtig zu behandeln
• Hunting nach verdächtigen Redirects, Imitationsdomains und cloudgehosteter Phishing-Infrastruktur

Diese Untersuchung ist eine Erinnerung daran, dass Phishing-Abwehr heute auch den Missbrauch legitimer Authentifizierungs-Workflows berücksichtigen muss – nicht nur gefälschte Login-Seiten und gestohlene Passwörter.