Thought Leadership
Sicherheitsforscher von Sophos X-Ops haben die Funktionsweise von Evilginx untersucht. Die auf dem weit verbreiteten Open-Source-Webserver nginx basierende Malware stellt eine erhebliche Bedrohung für die IT-Sicherheit dar, indem sie gezielte Adversary-in-the-Middle-Angriffe ermöglicht und dabei sogar Multi-Faktor-Authentifizierung (MFA) aushebeln kann.
So funktioniert der Angriff
Die Grundlage von Evilginx bildet der legitime nginx-Webserver, der für die Umleitung des Webverkehrs über täuschend echt aussehende Phishing-Seiten missbraucht wird. In einer Versuchsumgebung demonstrierten die Sophos-Forscher einen solchen Angriff, indem sie eine betrügerische Domain mit einer Microsoft-Imitation einrichteten.
Die Anmeldeformulare und Grafiken, die dem Nutzer angezeigt werden, stammen tatsächlich von Microsoft selbst und werden lediglich durch den Evilginx-Server weitergeleitet. Im Hintergrund manipuliert die Malware jedoch die Benutzererfahrung. So konnten die Sicherheitsforscher in ihren Tests problemlos ein MFA-geschütztes Konto kompromittieren.
Für den ahnungslosen Anwender verläuft der Login-Prozess völlig normal. Nur besonders aufmerksame Nutzer könnten stutzig werden, wenn sie nach einem Klick auf eine der Anwendungen erneut zur Anmeldung aufgefordert werden.
Mehr als nur Passwort-Diebstahl
Evilginx geht über das simple Abgreifen von Zugangsdaten hinaus. Die Malware erfasst auch Sitzungs-Token, indem Angreifer bei der Microsoft-Anmeldung die Option „Angemeldet bleiben“ aktivieren. Diese Informationen werden in einer Datenbank gespeichert, die neben der öffentlichen IP-Adresse und dem verwendeten Browser-Agenten auch das entscheidende Cookie enthält.
Mit diesem Cookie können sich Cyberkriminelle auf der legitimen Microsoft-Seite anmelden und erhalten vollen Zugriff auf das E-Mail-Konto des Opfers. Von dort aus lassen sich MFA-Geräte zurücksetzen, Passwörter ändern und weitere Maßnahmen ergreifen, um den Zugriff dauerhaft zu sichern.
Schutzmaßnahmen gegen Evilginx-Angriffe
Bei einem vermuteten Evilginx-Angriff empfehlen die Sicherheitsexperten von Sophos zwei Gegenmaßnahmen:
- Reaktiv: Als Erstes sollten alle Sitzungen und Tokens über Entra ID und Microsoft 365 widerrufen werden. Dies kann im Benutzerkonto über die Funktionen „Sitzungen widerrufen“ und „Von allen Sitzungen abmelden“ erfolgen.
- Präventiv: Anschließend müssen die Passwörter und MFA-Geräte des betroffenen Nutzers zurückgesetzt werden. Wichtig dabei: Je nach Art des hinzugefügten MFA-Geräts könnten Angreifer weiterhin passwortlosen Zugriff haben, wodurch Passwortänderungen wirkungslos bleiben.
Fazit: Beeindruckende, aber beherrschbare Bedrohung
Evilginx stellt eine technisch anspruchsvolle Methode zur Umgehung von MFA und zum Diebstahl von Anmeldeinformationen dar. Besonders beunruhigend ist, dass diese komplexe Angriffstechnik relativ leicht einzusetzen ist, was eine breite Anwendung durch verschiedene Angreifergruppen ermöglicht.
Die gute Nachricht: Mit den beschriebenen Gegenmaßnahmen lässt sich der Erfolg solcher Angriffe erheblich einschränken. Wachsamkeit bei ungewöhnlichen Anmeldeaufforderungen und regelmäßige Überprüfung aktiver Sitzungen bleiben jedoch unverzichtbar.
