OAuth-Lücke: ARToken und Umbrij umgehen Zwei-Faktor-Schutz

Neue Phishing-Wellen und Malware zielen auf OAuth-Schwachstellen in Cloud-Diensten. Millionenschäden durch koordinierte Betrugsaktionen.

Sicherheitsforscher schlagen Alarm: Gleich mehrere ausgeklügelte Kampagnen zielen auf die Cloud-Dienste von Microsoft und Google ab. Die Angreifer nutzen Schwachstellen in OAuth-Authentifizierungsabläufen, um den als sicher geltenden Zwei-Faktor-Schutz zu umgehen und sich dauerhaften Zugriff auf Unternehmenskommunikation zu verschaffen.

ARToken und Umbrij: Neue Plattformen im Visier von Firmen

Anfang Juli 2026 machten Forscher von Cisco Talos eine beunruhigende Entdeckung. ARToken, eine sogenannte Phishing-as-a-Service-Plattform, ist speziell darauf ausgelegt, Microsoft-365-Konten zu kompromittieren. Das System missbraucht den OAuth-Gerätecode-Fluss, um Authentifizierungstoken zu stehlen – der Angreifer benötigt nicht einmal das Passwort des Opfers. ARToken steht Berichten zufolge in Verbindung mit der EvilTokens-Plattform und nutzt Cloudflare Workers für die Infrastruktur. Besonders perfide: Künstliche Intelligenz durchsucht automatisch kompromittierte Postfächer nach lukrativen Finanzzielen.

Parallel dazu machte Kaspersky auf die Umbrij-Malware aufmerksam, die der Hackergruppe ToddyCat zugeschrieben wird. Diese Schadsoftware zielt auf Google-Workspace-Konten ab und verschafft sich über OAuth Zugriff auf die Gmail-API. Umbrij nutzt die Remote-Debugging-Funktionen von Chrome und Edge, um Token zu stehlen. Erste Infektionen erfolgen über DLL-Seitenladetechniken – die Erkennung verlagert sich daher zunehmend auf ungewöhnliche OAuth-Zustimmungsaktivitäten und API-Aufrufe.

Phishing wird immer raffinierter

Die Angriffsmethoden werden stetig weiterentwickelt. Eine Variante namens ConsentFix zielt auf den OAuth-Zustimmungsfluss von Microsoft 365 ab, indem sie Nutzer per Drag-and-Drop in eine Falle lockt. Die ClickFix-Methode wiederum setzt auf gefälschte Tastaturkürzel. Anleitungen für diese Techniken kursieren seit März 2026 in Cyberkriminalitätsforen.

Anzeige

CEO-Fraud und manipulierte E-Mails: Warum selbst erfahrene Mitarbeiter auf die raffinierten psychologischen Tricks der Hacker hereinfallen, zeigt dieser aktuelle Sicherheitsreport. Erfahren Sie, wie Sie Ihr Unternehmen in 4 Schritten effektiv gegen moderne Phishing-Angriffe absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Eine weitere Kampagne richtete sich im April 2026 gegen Robinhood-Nutzer und nutzte einen Gmail-„Punkt-Alias“-Trick, um legitime Absenderadressen vorzutäuschen. Die E-Mails passierten erfolgreich die Sicherheitsprüfungen DKIM, SPF und DMARC – indem die Angreifer rohes HTML in das Gerätenamenfeld des E-Mail-Headers einschleusten.

Besonders massiv fiel eine Passwort-Spraying-Kampagne Ende Juni 2026 aus: Zwischen dem 12. und 26. Juni registrierten Forscher über 81 Millionen Anmeldeversuche aus einem IPv6-Bereich. Dabei kam der ROPC-OAuth-Fluss (Resource Owner Password Credentials) zum Einsatz, der die Zwei-Faktor-Authentifizierung umgeht. 78 Konten in 64 verschiedenen Organisationen wurden erfolgreich kompromittiert.

Millionenschäden durch koordinierte Betrugswellen

Die finanziellen Folgen sind verheerend. In Singapur meldete die Polizei am 2. Juli 2026, dass seit Mai mindestens eine Million Euro durch Betrugsmaschen erbeutet wurde, die Microsoft und Crypto.com imitierten. Die Täter gaben sich als technischer Support oder Sicherheitsbeamte aus und brachten ihre Opfer dazu, Kryptowährungen oder Bankguthaben zu überweisen.

Anzeige

Angesichts immer neuer Cyberrisiken und strengerer Gesetze müssen Unternehmer proaktiv handeln, um Sicherheitslücken ohne hohe Investitionen zu schließen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen. Gratis-E-Book zur Cyber-Security anfordern

Auch in den USA schlagen die Wellen hoch: Im Clallam County im Bundesstaat Washington führten vier separate Betrugsfälle zwischen dem 29. Juni und 1. Juli 2026 zu Verlusten von über 600.000 Euro. Der größte Einzelfall: 380.000 Euro Schaden durch einen angeblichen Bundesagenten in Kombination mit einem Microsoft-Sicherheitsbetrug.

Lieferketten-Angriffe auf Entwickler-Tools

Das FBI warnte am 3. Juli 2026 vor der Gruppe TeamPCP, die Entwickler-Tools wie Trivy, LiteLLM und KICS ins Visier nimmt. Durch die Kompromittierung dieser Werkzeuge gelingt es den Angreifern, an Cloud-Zugangsdaten, SSH-Schlüssel und Kubernetes-Geheimnisse zu gelangen – ein klassischer Supply-Chain-Angriff, der weitreichende Folgen haben kann.