
In den ersten Monaten des Jahres 2025 kam es zu einem starken Anstieg von Phishing-as-a-Service-Angriffen (PhaaS) auf Unternehmen auf der ganzen Welt. Im Januar und Februar erkannten die Systeme von Barracuda mehr als eine Million Angriffe.
Die Angriffe wurden von mehreren führenden PhaaS-Plattformen unterstützt, darunter Tycoon 2FA, EvilProxy und Sneaky 2FA. Diese drei Plattformen zeigen, wie sich PhaaS weiterentwickelt und immer komplexer und ausweichender wird.
Tycoon 2FA war Anfang 2025 die bekannteste und ausgereifteste aktive PhaaS-Plattform. Sie war für 89 % der PhaaS-Vorfälle im Januar 2025 verantwortlich. Als Nächstes kam EvilProxy mit einem Anteil von 8 %, gefolgt von einem neuen Konkurrenten, Sneaky 2FA mit einem Anteil von 3 % der Angriffe.

Die Weiterentwicklung von Tycoon 2FA
Mitte Februar 2025 bemerkten die Bedrohungsanalysten von Barracuda eine Welle von Angriffen mit Tycoon 2FA. Die Untersuchung ergab, dass die Plattform ihre Umgehungsmechanismen ständig weiterentwickelt und verbessert hat, so dass sie noch schwerer zu entdecken ist.
Technische Details
In einem früheren Blogbeitrag über Tycoon 2FA erörterten Analysten die bösartigen Skripte, die verwendet werden, um die Analyse der Phishing-Seiten durch Verteidiger zu behindern, beispielsweise durch Blockieren von Tastenkombinationen.
Die Entwickler haben diesen Ansatz nun aufgegeben und ihn durch etwas noch Ausweichenderes ersetzt.
- Das aktualisierte Skript ist mit einer Caesar-Chiffre verschlüsselt – einer wechselnden Substitutions-Chiffre – anstatt im Klartext. Dieses Skript ist für mehrere Prozesse verantwortlich, wie zum Beispiel den Diebstahl von Zugangsdaten und deren Exfiltrierung auf einen von Angreifern kontrollierten Server.
- Einige Beispiele für die Schrift sind Hangul Filler (oder Unicode 3164), ein unsichtbares Zeichen (aber kein Leerzeichen) aus der Hangul-Schrift. Diese Zeichen werden oft verwendet, um Leerzeichen auszufüllen, ohne irgendeinen Inhalt anzuzeigen, und sie werden häufig in Phishing-Techniken verwendet.
- Das aktualisierte Skript identifiziert den Browsertyp des Opfers, wahrscheinlich um den Angriff zu umgehen oder anzupassen. Es enthält auch Telegram-Links. Diese werden häufig verwendet, um gestohlene Daten heimlich an Angreifer zu senden. Dieses Skript enthält außerdem Interkommunikationslinks wie Ajax-Anfragen, die es ermöglichen, Teile einer Webseite unabhängig vom Rest der Seite zu aktualisieren. Außerdem verfügt das Skript über eine AES-Verschlüsselung, um Zugangsdaten zu verschleiern, bevor sie auf einen Remote-Server exfiltriert werden, was die Erkennung erschwert.

Links: Cesar-verschlüsseltes Skript — Rechts: Nach der Entschlüsselung
EvilProxy – ein gefährlich zugängliches Tool
EvilProxy ist ein besonders gefährliches PhaaS, da es nur minimales technisches Fachwissen erfordert und ausgeklügelte Phishing-Angriffe einem breiteren Spektrum von Cyberkriminellen zugänglich macht.
EvilProxy ermöglicht es Angreifern, weit verbreitete Dienste wie Microsoft 365, Google und andere Cloud-basierte Plattformen anzugreifen. Durch Phishing-E-Mails und bösartige Links bringt EvilProxy Opfer dazu, ihre Zugangsdaten auf scheinbar legitimen Anmeldeseiten einzugeben.
Technische Details
- EvilProxy-Phishing-Angriffe verwenden eine Reverse-Proxy-Konfiguration. Ein Reverse-Proxy ist ein Server, der sich vor Webservern befindet und Kundenanfragen (z. B. Webbrowser) an diese Webserver weiterleitet. Dieser Reverse-Proxy dient als Brücke zwischen dem Angreifer, dem Opfer und dem Zieldienst.
- Wenn die Opfer ihre Zugangsdaten auf der gefälschten Anmeldeseite eingeben, werden ihre Zugangsdaten an die legitime Website weitergeleitet. Dadurch erhält der Angreifer Live-Zugriff auf das Konto des Benutzers, ohne Verdacht zu erregen.
- Der Quellcode, den EvilProxy für seine Phishing-Webseite verwendet, entspricht weitgehend dem Quellcode der ursprünglichen, legitimen Anmeldeseite. Dadurch ist eine Unterscheidung von der ursprünglichen, legitimen Website schwierig.
In der Abbildung unten befindet sich der Quellcode der legitimen Microsoft-Anmeldeseite auf der linken Seite, während sich der der EvilProxy-Phishing-Webseite auf der rechten Seite befindet.

Links: legitimer Microsoft Login-Quellcode – rechts: EvilProxy-Quellcode
Sneaky 2FA hilft Opfern beim Ausfüllen von Phishing-Formularen
Das drittwichtigste PhaaS Anfang 2025 war Sneaky 2FA, die Plattform für Adversary-in-the-Middle (AiTM)-Attacken auf Microsoft 365-Konten auf der Suche nach Zugangsdaten und Zugriff.
Die Empfänger erhalten eine E-Mail mit einem Link. Wenn sie auf den Link klicken, werden sie auf eine bösartige, gefälschte Microsoft-Anmeldeseite weitergeleitet. Die Angreifer überprüfen, ob es sich bei dem Benutzer um ein legitimes Ziel und nicht um ein Sicherheitstool handelt, bevor sie die gefälschte Phishing-Seite mit der E-Mail-Adresse des Opfers vorfüllen, indem sie die „Autograb“-Funktion von Microsoft 365 missbrauchen.
Das Angriffs-Toolkit wird von der Cybercrime-Organisation Sneaky Log als Service verkauft. Sie ist als Sneaky 2FA bekannt, weil sie die Zwei-Faktor-Authentifizierung umgehen kann. Sneaky 2FA nutzt den Nachrichtendienst Telegram und funktioniert als Bot.
Technische Details
- Die Phishing-URL der Angreifer enthält die E-Mail-Adresse des Ziels als Parameter, entweder im Klartext oder in Base64 kodiert (wodurch Binärdaten wie Bilder oder Dateien in ein Textformat umgewandelt und über Medien übertragen werden können, die nur Text unterstützen, wie E-Mail oder URLs.) Beispiel: hxxps://Phishing_url/00/#E-Mail_id
- Die Sneaky 2FA-Phishing-URLs bestehen normalerweise aus 150 alphanumerischen Zeichen, gefolgt vom Pfad /index, /verify und /validate.

Dieses Muster ermöglicht es den Angreifern, die Besucher ihrer gefälschten Microsoft-Anmeldeseiten zu verfolgen und die Ziele herauszufiltern, die nicht erwünscht sind, da es sich bei ihnen wahrscheinlich nicht um legitime Benutzer und potenzielle Opfer handelt.
- Sneaky 2FA-Angreifer versuchen herauszufinden, ob die IP-Adresse eines Besuchers von einem Rechenzentrum, Cloud-Anbieter, Bot, Proxy, VPN stammt oder mit bekanntem Missbrauch in Verbindung steht. Wenn der Server der Ansicht ist, dass der Traffic des Besuchers nicht mit dem Traffic der Opfer übereinstimmt, leitet das Phishing-Kit den Besucher mithilfe des Umleitungsdienstes href[.]li auf eine Wikipedia-Seite mit Bezug zu Microsoft oder Windows weiter. Wir können dieses Umleitungsskript innerhalb des <noscript> Elements des Quellcodes sehen.

Wikipedia-Weiterleitung
So erkennen Sie einen PhaaS-Angriff
Vermeiden Sie die Eingabe Ihrer Zugangsdaten, wenn:
- Eine Anmeldeseite enthält eine „.ru“-Top-Level-Domain (der letzte Teil einer URL), und die E-Mail-ID des Opfers ist entweder als Klartext oder Base64-kodiert in die Phishing-URL eingebettet. Diese Hinweise könnten auf einen Tycoon-2FA-Angriff hindeuten.
- EvilProxy-Angriffe sind schwerer zu erkennen, da sie eine zufällige URL verwenden. Wenn Sie jedoch der Meinung sind, dass sich die URL der Microsoft/Google-Anmeldeseite von der üblichen Anmeldeseite unterscheidet, sollten Sie Ihre Zugangsdaten nicht eingeben. Ein weiterer Hinweis sind ungewöhnliche MFA-Eingabeaufforderungen, z. B. das Empfangen von MFA-Eingabeaufforderungen, wenn Sie sich nicht anmelden.
- Um Sneaky 2FA zu erkennen, prüfen Sie, ob die URL der Webseite eine alphanumerische Zeichenkette mit 150 Zeichen enthält, gefolgt von entweder /verify, /index oder /validate am Ende der URL.
Stärkung der E-Mail-Sicherheit
Phishing-E-Mails sind das Einfallstor für viele Angriffe, vom Diebstahl von Zugangsdaten bis hin zu Finanzbetrug, Ransomware und mehr. Die Plattformen, die Phishing-as-a-Service ermöglichen, werden immer komplexer und ausweichender, wodurch Phishing-Angriffe für herkömmliche Sicherheitstools schwerer zu erkennen und in Bezug auf den angerichteten Schaden wirkungsvoller sind.
Eine fortschrittliche, in die Tiefe gehende E-Mail-Sicherheitslösung wie Barracuda Email Security ist unerlässlich und sollte mit einer mehrschichtigen, KI/ML-fähigen Erkennung ausgestattet sein, um Unternehmen und Mitarbeiter vor PhaaS-basierten Angriffen zu schützen.
Security awareness training für Mitarbeiter, die hilft, die Anzeichen und Verhaltensweisen der neuesten Bedrohungen zu verstehen, ist ebenfalls wichtig. Ermutigen Sie Ihre Mitarbeiter, verdächtig aussehende Microsoft/Google-Anmeldeseiten zu melden. Wenn Sie sie finden, führen Sie eine eingehende Protokollanalyse durch und suchen Sie nach MFA-Anomalien.
Diese Elemente sollten durch robuste und einheitliche Security-Zugriffs- und Authentifizierungsrichtlinien und eine gegenüber Phishing resistente MFA-Lösung wie FIDO2-Sicherheitsschlüssel ergänzt werden.
Ashitosh Deshnur, Associate Threat Analyst bei Barracuda, trug zu den Recherchen für diesen Blogbeitrag bei.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.