Ein neues Phishing-Kit namens Astaroth, das seit Januar 2025 in Cybercrime-Foren beworben wird, hat sich zu einer starken Bedrohung in der Cybersicherheitslandschaft für Unternehmen und Privatpersonen entwickelt. Es umgeht die Zwei-Faktor-Authentifizierungsmechanismen (2FA) und nutzt fortschrittliche Techniken wie Session-Hijacking und das Abfangen von Anmeldeinformationen in Echtzeit, um Konten auf Plattformen wie Gmail, Yahoo, Office 365 und anderen Anmeldungen von Drittanbietern zu kompromittieren.

Fortgeschrittene Techniken zur Umgehung von 2FA

Im Gegensatz zu herkömmlichen Phishing-Kits, die zum Sammeln von Anmeldeinformationen auf statischen, gefälschten Anmeldeseiten basieren, verwendet Astaroth einen Reverse-Proxy im Evilginx-Stil, um Authentifizierungsdaten dynamisch und in Echtzeit abzufangen. Das Kit fungiert als Man-in-the-Middle und spiegelt legitime Anmeldeseiten mit SSL-Zertifikaten wider, um sicherzustellen, dass Opfer keine Sicherheitswarnungen erhalten.

Wenn Benutzer auf diesen gefälschten Seiten ihre Anmeldeinformationen und 2FA-Tokens eingeben, fängt Astaroth die Daten ab, bevor sie an den legitimen Server weitergeleitet werden. Das Phishing-Kit erfasst nicht nur Benutzernamen und Passwörter, sondern auch Sitzungscookies und 2FA-Tokens (z. B. SMS-Codes oder App-generierte Codes).

Diese Sitzungscookies ermöglichen es Angreifern, die Authentifizierung vollständig zu umgehen, indem sie sie in den Browser einschleusen und somit die Identität des Opfers vortäuschen, ohne dass zusätzliche Anmeldeinformationen erforderlich sind.

Echtzeitwarnungen über ein Webpanel oder Telegram-Benachrichtigungen ermöglichen es Angreifern, unmittelbar nach der Erfassung der Daten aktiv zu werden.

Was kann das Kit und wie wird die Phishing-Seiten verbreitet

Das Phishing-Kit Astaroth wird für ca. 2.000 US-Dollar in Cybercrime-Foren und Telegram-Kanälen verkauft und bietet sechs Monate lang Updates und Support. Es umfasst Funktionen wie:

Fängt Benutzernamen, Passwörter, 2FA-Tokens und Sitzungscookies ab.
SSL-zertifizierte Phishing-Domänen: Stellt sicher, dass Opfer keine Sicherheitswarnungen sehen.
Widersteht Deaktivierungsversuchen der Strafverfolgungsbehörden.
Umfasst Methoden zur Umgehung des reCAPTCHA- und BotGuard-Schutzes.

Das Phishing-Kit wird transparent vermarktet und bietet sogar Tests vor dem Kauf an, um seine Fähigkeiten zu demonstrieren. Diese Offenheit zieht sowohl erfahrene Cyberkriminelle als auch Neulinge an. Die Raffinesse von Astaroth verdeutlicht die wachsenden Herausforderungen bei der Abwehr von Phishing-Angriffen.

Herkömmliche Abwehrmaßnahmen werden unwirksam

Durch die gezielte Ausrichtung auf 2FA-Mechanismen, die als robuste Sicherheitsebene gelten, werden herkömmliche Abwehrmaßnahmen unwirksam. Die Fähigkeit des Kits, authentifizierte Sitzungen in Echtzeit zu kapern, stellt ein großes Risiko für Einzelpersonen und Organisationen gleichermaßen dar.

Mit diesen Sicherheitsmaßnahmen können Privatperson und Unternehmen diese Art von Angriffen vermeiden

Privatpersonen:

FIDO2-Sicherheitsschlüssel nutzen: Hardware-Token wie YubiKey oder Titan Security Key bieten eine starke Zwei-Faktor-Authentifizierung (2FA), die gegen solche Man-in-the-Middle-Angriffe immun ist.
Passkeys anstelle von Passwörtern verwenden: Passkeys nutzen kryptografische Schlüsselpaare und verhindern das Abfangen von Zugangsdaten durch Phishing-Kits.
Keine Links aus E-Mails oder Nachrichten nutzen: Stattdessen die offizielle Website manuell im Browser eingeben.
Browser-Erweiterungen zur Phishing-Erkennung einsetzen: Erweiterungen wie „Google Safe Browsing“ oder „Microsoft Defender SmartScreen“ können verdächtige Websites erkennen.
Multi-Faktor-Authentifizierung mit Push-Bestätigung verwenden: Authentifizierungs-Apps wie FreeOTP, Microsoft Authenticator oder Duo Security ermöglichen es, Anmeldeversuche manuell zu bestätigen oder abzulehnen.
Sitzungen regelmäßig beenden: Häufiges Abmelden aus Konten verhindert die Nutzung von gestohlenen Sitzungscookies.
Aktuelle Sicherheitsupdates installieren: Browser und Betriebssysteme sollten immer auf dem neuesten Stand sein, um Sicherheitslücken zu schließen.

Unternehmen:

Phishing-Resistente MFA einführen: Unternehmen sollten FIDO2/WebAuthn-basierte Authentifizierung anstelle von SMS- oder App-Codes bevorzugen.
Domain-Authentifizierung mit DMARC, SPF und DKIM umsetzen: Diese Maßnahmen verhindern das Spoofing von Unternehmens-E-Mails.
Zero-Trust-Strategie implementieren: Kein Gerät oder Benutzer sollte automatisch als vertrauenswürdig gelten, selbst innerhalb des Firmennetzwerks.
WebAuthn und Passwortlose Anmeldung fördern: Reduziert das Risiko von Credential-Phishing erheblich.
Security Awareness-Schulungen für Mitarbeiter: Regelmäßige Schulungen über moderne Phishing-Techniken und simulierte Angriffe erhöhen das Sicherheitsbewusstsein.
Erweiterte Bedrohungserkennung und -abwehr (EDR/XDR) einsetzen: Automatisierte Sicherheitslösungen helfen, verdächtige Aktivitäten frühzeitig zu erkennen.
Sitzungsverwaltung optimieren: Unternehmen sollten kurze Session-Zeiten definieren und automatische Abmeldungen implementieren.
Monitoring von Darknet-Leaks und kompromittierten Zugangsdaten: Dienste wie „Identity leak Checker“ können auf geleakte Unternehmens-Accounts hinweisen.

Diese Maßnahmen helfen Privatperson und Unternehmen das Risiko von fortgeschrittenem Phishing und 2FA-Umgehung zu minimieren. Da Phishing-Kits wie Astaroth immer zugänglicher und ausgefeilter werden, verringern sie die Hürde für Cyberkriminelle, hochwirksame Angriffe auszuführen. Proaktive Sicherheitsstrategien zur Eindämmung solcher Bedrohungen sind kein Nice-to-have sondern ein Must-have.

Abonniere jetzt unseren Newsletter und erhalte Nachrichten & Updates zur Cybersicherheit, Sicherheits-Tipps und Insiderwissen. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte ca. alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!

Hat dir dieser Beitrag gefallen?

Nein

Danke für dein Feedback!

Neues Phishing-Kit umgeht 2FA und zielt auf Gmail, Yahoo, Office 365 ab