Barracuda full logo

Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt

Themen:
15. Okt.. 2025
|

Phishing-as-a-Service-(PhaaS)-Plattformen dominieren die E-Mail-Bedrohungslandschaft. Die bekanntesten sind ausgeklügelte, gut ausgestattete Plattformen, die Tools, Infrastruktur und Unterstützung gegen Bezahlung oder Gewinnbeteiligung anbieten. Sie entwickeln sich weiter, und neue Herausforderer tauchen auf, die ebenfalls ein Stück vom Kuchen abhaben möchten.

Die Bedrohungsanalysten von Barracuda verfolgen seit Juli 2025 einen solchen Mitbewerber. Barracuda hat diesem Kit den Namen Whisper 2FA gegeben, aufgrund seines heimlichen und hartnäckigen Ansatzes zum Diebstahl von Zugangsdaten.

Im letzten Monat hat Barracuda fast eine Million Whisper-2FA-Angriffe beobachtet, die in mehreren großen Phishing-Kampagnen auf Konten abzielten, was Whisper nach Tycoon und EvilProxy zum dritthäufigsten PhaaS macht.

Es gibt Ähnlichkeiten mit Salty 2FA, einem neuen PhaaS mit dem Schwerpunkt auf dem Diebstahl von Microsoft 365-Zugangsdaten, wir kürzlich von AnyRun berichtet. Beide sind gut verschleierte Zugangsdaten-Harvester mit Anti-Debugging-, Anti-Analyse- und Marken-Imitationsfunktionen. In diesem Artikel konzentrieren wir uns auf die verschiedenen Varianten der Bedrohung, ihre rasche Entwicklung und ihren Authentifizierungsablauf.

Der Kreislauf des Zugangsdaten-Diebstahls

Whisper 2FA zeichnet sich dadurch aus, dass es über eine Echtzeit-Exfiltrationsschleife für Zugangsdaten, die durch die Webtechnologie AJAX (Asynchronous JavaScript and XML) ermöglicht wird, Zugangsdaten mehrfach stehlen kann.

Mit AJAX können Websites Informationen in Echtzeit aktualisieren, ohne die gesamte Seite neu laden zu müssen. Es ist die Technologie, die Funktionen wie Live-Chat, sofortige Suchvorschläge und dynamische Dashboards schnell und nahtlos erscheinen lässt.

Die Angreifer halten die Schleife aufrecht, bis sie ein gültiges Multifaktor-Authentifizierungstoken erhalten.

Vielfältige Köder

Die Bedrohungsanalysten fanden eine Vielzahl von Phishing-E-Mails, die zu Whisper 2FA führten und zwischen bekannten, vertrauenswürdigen Marken und dringlichen Vorwänden wechselten, um ihren Erfolg zu maximieren.

Nachfolgend ist ein zusammengefasster Überblick über vier kürzliche Phishing-Köder zu sehen, die mit Whisper 2FA verbunden sind und DocuSign, Voicemail, Adobe und „Invoice“ beinhalten.

Entwicklung mit hoher Geschwindigkeit

Das Whisper 2FA Phishing-Kit entwickelt sich sowohl in technischer Komplexität als auch in Strategien zur Vermeidung von Erkennung schnell weiter.

Frühe Varianten

  • Die HTML/JavaScript-Quellcode-Zeichenfolgen enthalten zufällige Textfragmente. Dazu gehören vom Entwickler hinzugefügte Kommentare, wie z. B. Hinweise auf Fitness oder Speisen. Es kann auch eine persönliche Signatur des Entwicklers sein, um zu sagen: Ich habe dies erstellt.
  • Der Code ist verschleiert, aber dennoch relativ leicht nachverfolgbar. Es gibt weniger Verschlüsselungsebenen als bei neueren Varianten.
  • Der Code enthält Überprüfungen, um Sicherheitsanalysen zu verhindern, aber sie sind weniger aggressiv als bei späteren Varianten und konzentrieren sich hauptsächlich auf die Deaktivierung des Rechtsklick-/Kontextmenüs.

Aktuelle Varianten

  • Die Kommentare wurden entfernt, wodurch für Menschen lesbare Hinweise entfallen und die statische Analyse erschwert wird.
  • Die Verschleierung ist dichter und mehrschichtiger geworden, mit wiederholten Base64-Dekodierungsfunktionen, was darauf hindeutet, dass die ursprünglichen Daten mehrmals in Zeichenketten aus Buchstaben, Zahlen und Symbolen codiert wurden.
  • Es wurden neue Schutzmechanismen hinzugefügt, um es Angreifern und Verteidigern zu erschweren, das System zu analysieren oder zu manipulieren. Dazu gehören Tricks zur Erkennung und Blockierung von Debugging-Tools, das Deaktivieren von Tastenkombinationen, die von Entwicklern verwendet werden, und der hervorgerufene Absturz von Inspektionswerkzeugen durch Manipulation des Browserverhaltens.
  • Stärkere sitzungsbasierte Prüfungen und Exfiltrationslogik mit Multifaktor-Authentifizierung (MFA), bei der Tokens und OTPs (Einmalpasswörter) in Echtzeit über die Kommando- und Kontrollsysteme (C2) des Angreifers validiert werden.
  • Verbesserte Überprüfungen zur sofortigen Validierung von abgefangenen Anmeldecodes und Tokens über die C2-Systeme der Angreifer.

Links: Frühe Varianten; Rechts: Aktuelle Varianten

Detaillierte technische Analyse

In diesem Abschnitt analysieren wir die Funktionsweise des Whisper 2FA-Phishing-Kits und konzentrieren uns darauf, wie es den Authentifizierungsfluss handhabt.

1. Verschleierung mit Base64 +XOR

Im Kern von Whisper 2FA steht eine einfache, aber effektive Codierungsroutine:

Die Verschleierung mit Base64 + XOR tarnt die Daten und erschwert deren Erkennung oder Entschlüsselung.

Zunächst werden die Daten in ein kodiertes Format (Base64) umgewandelt, das wie zufälliger Text aussieht. Als Nächstes werden sie mit einer mathematischen Operation (XOR) verschlüsselt. Dieser Ansatz wird häufig bei Malware oder zur Umgehung von Sicherheitsmaßnahmen verwendet, um gestohlene Daten oder bösartigen Code schwerer erkennbar zu machen. Es hilft, die Analyse zu verlangsamen und statische Erkennungen durch Security-Tools zu vermeiden, die nach fest codierten Phishing-Domains oder HTML-Elementen suchen.

Die Funktion arbeitet in zwei Phasen:

  • Base64-Dekodierung: Wie oben erwähnt, geht es darum, normalen Text in ein verschlüsselt aussehendes Format umzuwandeln, das nur Buchstaben, Zahlen und einige wenige Symbole verwendet. Die Base64-Codierung kann bei Bedarf einfach rückgängig gemacht werden. In diesem Fall wird zuerst die Eingabezeichenfolge 's' von Base64 dekodiert, wodurch eine Sequenz von Rohbytes erzeugt wird.
  • XOR-Maskierung: Hierbei handelt es sich um eine einfache Verschlüsselungsmethode, bei der jeder Buchstabe oder jede Zahl in der Nachricht mit einem geheimen Schlüssel verglichen und dann gemäß einer Regel geändert wird, die jedes Datenbyte gegen einen sich wiederholenden Schlüssel (14cf6ff11206b4e94bee33a2ec0e6a51) verschlüsselt, der durch "Var K =" dargestellt wird, der für jede Phishing-Seite eindeutig ist.

2. Anti-Analyse und Anti-Debugging

Die neueren Varianten von Whisper 2FA unternehmen große Anstrengungen, um die Inspektion und Analyse der Phishing-Seite zu verhindern.

Der Code verwendet die Base64- und XOR-Codierungstechniken zur Verschleierung, um Keywords wie „Keydown“ und „F12“ zu verbergen, was es für Analysten schwieriger macht, zu erkennen oder zu verstehen, was der Code bewirkt.

Es enthält auch mehrere Anti-Analyse-Techniken, die die Art und Weise blockieren, wie die meisten Menschen Webseiten inspizieren. Beispielsweise werden Tastenkombinationen wie Strg+Umschalt+I, Strg+Umschalt+J, Strg+Umschalt+C (zum Öffnen von Entwicklertools), Strg+U (zum Anzeigen des Seitenquelltexts), Strg+S (zum Speichern der Seite) und Rechtsklick (zum Öffnen des Kontextmenüs) deaktiviert.

Eine aggressivere Taktik ist die unendliche Debugger-Schleife, die auch als Watchdog-Schleife bekannt ist. Wenn jemand Entwicklertools öffnet, läuft der Code endlos, wodurch der Browser-Tab einfriert, bis er manuell geschlossen wird.

Darüber hinaus verwendet der bösartige Code von Whisper 2FA Konsolentricks, die erkennen, wenn jemand über die Konsole des Browsers mit der Seite interagiert. In diesem Fall wird der Seiteninhalt gelöscht, wodurch eine weitere Analyse verhindert wird.

Anti-Analyse & Anti-Debugging

Whisper 2FA verwendet einen cleveren Trick, um die Analyse zu blockieren. Es erstellt ein falsches Bildobjekt und ändert die Funktionsweise seiner ID-Eigenschaft. Wenn jemand versucht, dieses Objekt anzusehen, z. B. mit Browser-Entwicklertools, wird ein Befehl ausgelöst, der die Webseite sofort löscht und sie leer erscheinen lässt.

Während der Phase der Bindung von Formularfeldern verbindet der Code heimlich jedes Eingabefeld, wie E-Mail, Passwort, Einmal-Passwörter (OTP) oder MFA-Tokens, mit versteckten Funktionen. Diese Funktionen senden die Daten automatisch an den Server des Angreifers, unabhängig davon, wie der Nutzer sie übermittelt, sei es durch Drücken der Eingabetaste oder durch Klicken auf Schaltflächen wie „Weiter“, „Anmelden“ oder „Senden“.

Der gesamte Vorgang sieht aus wie ein normales Anmeldeformular, sodass das Opfer keinen Verdacht schöpft. Währenddessen werden im Hintergrund seine Anmeldedaten und Sicherheitscodes gestohlen.

3. Übermittlung von Zugangsdaten

Die Funktion namens _e3834047() steuert, wie das Phishing-Kit mit den Anmeldedaten des Opfers umgeht und sich darauf vorbereitet, dessen MFA-Code zu stehlen.

Sobald das Opfer seine E-Mail-Adresse und sein Passwort in das gefälschte Anmeldeformular eingibt, überprüft die Funktion zunächst, ob ein versteckter Validierungsschritt erfolgreich bestanden wird (mithilfe von _c896d0b0()). Wenn dies der Fall ist, erfasst das Kit die E-Mail-Adresse (genannt „Ordination“) und das Passwort (genannt „Adjuration“) mithilfe versteckter Selektoren. Diese Selektoren sind getarnt, verweisen jedoch auf die tatsächlichen Eingabefelder des Formulars, wenn die Seite ausgeführt wird.

Als Nächstes wird die Nutzeroberfläche so verändert, dass sie aussieht, als würde etwas geschehen, wie es bei einem echten Anmeldeprozess der Fall wäre. Ein Ladekreis erscheint, der Bildschirm wird abgedunkelt, und das Anmeldeformular verschwindet. Dies gaukelt dem Opfer vor, dass sein Login normal verarbeitet wird.

Im Hintergrund werden die gestohlenen Zugangsdaten mittels über eine AJAX-Anfrage an den Server des Angreifers gesendet. Aber anstatt die Daten im Klartext zu senden, verpackt das Kit sie in eine Funktion namens _860ac295, die sie mithilfe von Base64-Codierung und XOR verschlüsselt. Es verwendet außerdem einen Sitzungsschlüssel (genannt „viscous“), um die Verschlüsselung eindeutig zu machen. Dadurch wird es für jeden, der das Netzwerk überwacht, schwieriger, sofort zu erkennen, dass Anmeldedaten gestohlen wurden.

4. MFA-Exfiltration

Nachdem die Zugangsdaten des Opfers gestohlen wurden, wechselt Whisper 2FA in eine fortgeschrittenere Phase: das Echtzeit-MFA-Harvesting.

Wenn das Konto des Opfers einen SMS-Code oder einen Code aus einer Authentifizierungs-App benötigt, aktiviert das Phishing-Kit einen manuellen Erfassungsmodus. Das Backend des Angreifers sendet ein neues Sitzungstoken zusammen mit Anweisungen an die Phishing-Seite, ein Eingabefeld für den MFA-Code anzuzeigen.

Sobald das Opfer seinen Code eingibt und auf Senden klickt, verpackt die Phishing-Seite den Code in eine verschleierte Nutzlast und sendet ihn an den C2-Server des Angreifers. Diese Anfrage enthält Vorgangsdetails wie op: „Vx“ (überprüfen) und service: „c“ (manuelle Eingabe). Der Angreifer verwendet den Code dann sofort, um einen echten Login-Versuch durchzuführen. Wenn der Code funktioniert, läuft die Phishing-Seite weiter, als ob die Anmeldung erfolgreich war, und das Opfer bleibt davon überzeugt. Wenn der Code fehlschlägt, wird das Opfer auf der Seite höflich gebeten, es erneut zu versuchen. Diese Schleife erlaubt unbegrenzte Wiederholungsversuche und hält das Opfer so lange bei der Stange, bis ein gültiger Code erfasst wird.

MFA-Exfiltration

Dieses Design ist besonders gefährlich, da es nicht nur einen einzelnen MFA-Code stiehlt — es fungiert als Live-Relay, das jeden Code in Echtzeit validiert und so lange weitermacht, bis der Angreifer erfolgreich eingeloggt ist. Für Verteidiger bedeutet dies, dass selbst abgelaufene oder falsche Codes den Angriff nicht stoppen, da das Phishing-Kit das Opfer so lange auffordert, bis es einen gültigen Code erhält.

5. MFA-Methoden

In der MFA-Auswahlphase erhält das Phishing-Kit eine Liste der verfügbaren MFA-Methoden vom Server des Angreifers. Diese Liste ist in Base64 kodiert und enthält Optionen wie Push-Benachrichtigungen, SMS, Sprachanrufe oder von der App generierte Codes. Jede Methode wird als anklickbare Kachel auf der Phishing-Seite angezeigt. Wenn das Opfer eine Methode auswählt, wird die Funktion „Heavenward“ (Methode) ausgelöst. Sie zeigt einen Ladekreis, löscht den Bildschirm und sendet eine POST-Anfrage mit der ausgewählten Methode, einem Sitzungstoken und Weiteren Betriebsdetails an den Server des Angreifers.

In dieser Phase kann sich Whisper 2FA an die MFA-Methode anpassen, die das Konto des Opfers verwendet. Es erfasst dann das OTP oder wartet auf die Push-Freigaben und schließt so den Echtzeit-Umgehungsprozess ab.

MFA-Schrittsteuerung

Fazit

Die Whisper 2FA-Phishing-Kampagne zeigt, wie sich Phishing-Kits von einfachen Zugangsdaten-Dieben zu ausgeklügelten Angriffsplattformen mit umfassendem Service entwickelt haben. Durch die Kombination von realistischen Anmeldeabläufen, nahtloser Nutzerinteraktion und MFA-Abfang in Echtzeit macht es Whisper 2FA Nutzern und Security-Teams extrem schwer, Fraud zu erkennen.

Im Gegensatz zu herkömmlichen Phishing-Kits, die nach dem Sammeln von Benutzernamen und Passwörtern stoppen, geht Whisper 2FA noch weiter. Es validiert Sitzungen in Echtzeit, fängt MFA-Codes ab und verwendet fortschrittliche Anti-Analyse-Techniken, um einer Entdeckung zu entgehen. Dieser Grad an Raffinesse spiegelt den Anstieg von Phishing-as-a-Service (PhaaS) wider, bei dem Kits professionell entwickelt, regelmäßig aktualisiert und an Angreifer verkauft oder vermietet werden.

Whisper 2FA hebt sich in mehreren Punkten von bekannten PhaaS-Kits wie EvilProxy ab:

  • Optimierte Exfiltration: Es vermeidet komplexe Reverse-Proxys und verwendet stattdessen einfache AJAX-Anfragen, um Zugangsdaten und MFA-Token zu stehlen. Dies erleichtert die Bereitstellung und erschwert die Erkennung.
  • Aggressive Anti-Analyse: Es enthält mehrere Verschleierungsschichten, stellt Fallen für Debugging-Tools auf und blockiert gängige Tastenkombinationen für die Inspektion, was die Analyse für Forscher und Security-Tools erschwert.

Diese Kombination aus Einfachheit für Angreifer und Komplexität für Verteidiger macht Whisper 2FA zu einer ernstzunehmenden und wachsenden Bedrohung.

Da sich Phishing-Kits wie dieses ständig weiterentwickeln, müssen Unternehmen über statische Abwehrmaßnahmen hinausgehen und mehrschichtige Strategien anwenden: Nutzerschulung, phishing-resistente MFA, kontinuierliche Überwachung und Austausch von Bedrohungsinformationen. Nur dann können die Verteidiger mit den unaufhörlichen Innovationen Schritt halten, die wir jetzt bei Phishing-Kampagnen wie Whisper 2FA beobachten.

Entdecken Sie Live-Einblicke von Barracuda Research
Verwandte Beiträge:
Bulk remediation for MSPs: Protect every customer with a single action
Bulk remediation for MSPs: Protect every customer with a single action
BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Introducing Barracuda Research — the new resource for our global threat intelligence and insight
Introducing Barracuda Research — the new resource for our global threat intelligence and insight
 Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.