Sicherheitsforscher des Unternehmens Barracuda haben ein ungewöhnliches Phishing-Kit namens Saiga 2FA genauer unter die Lupe genommen - und dabei eine Schadsoftware entdeckt, die technisch deutlich ausgefeilter ist als die meisten ihrer Art. Erst Anfang 2025 tauchte Saiga erstmals auf, damals bei gezielten Angriffen auf juristische Organisationen in Australien. Seit Februar 2026 beobachten die Analysten eine deutlich gestiegene Aktivität des Kits.

MFA ausgehebelt dank Sitzungscookies

Saiga 2FA funktioniert nach dem sogenannten Adversary-in-the-Middle-Prinzip (AitM): Das Kit schaltet sich unbemerkt zwischen Opfer und legitimen Dienst und stiehlt dabei Sitzungs-Cookies in Echtzeit – womit es sogar Mehrfaktor-Authentifizierung aushebelt. Die Angriffskette startet meist mit gefälschten Docusign-Benachrichtigungen per E-Mail, teilweise ergänzt durch QR-Codes. Klickt das Opfer auf den Link, führt eine verschachtelte Weiterleitungskette über seriös wirkende URL-Schutzdienste direkt zur eigentlichen Phishing-Domain. Was Saiga dabei technisch besonders interessant macht: Die Phishing-Seiten laufen nicht als simple HTML-Seiten, sondern als vollwertige Web-Applikation auf Basis des Frameworks Next.js - inklusive dynamisch generierter Inhalte, was automatisierte Scanner vor echte Probleme stellt.

Um Sicherheitssysteme zu täuschen, setzt Saiga auf mehrere Ebenen von Verschleierungstechniken gleichzeitig. Statt verräterischer Markennamen wie "Microsoft Login" in den Metadaten verwendet das Kit den klassischen Platzhaltertext "lorem ipsum" - semantisch bedeutungslos und damit schwerer von Keyword-Filtern zu erkennen. Zusätzlich blockiert ein angepasstes Cloudflare-Turnstile-CAPTCHA automatisierte Analysewerkzeuge, während ein weiterer Mechanismus erkennt, ob Browser-Entwicklertools geöffnet sind - in diesem Fall leitet das System das Opfer sofort auf eine harmlose Seite wie Google um. Wer gesehen werden soll, sieht die Phishing-Seite; alle anderen landen im Nirgendwo.

Ausgefeiltes Phising-as-a-Service

Gegenüber ähnlichen Kits wie Sneaky 2FA oder EvilProxy bietet Saiga einige Extras, die es in eine eigene Liga katapultieren. So beinhaltet es einen integrierten "FM Scanner", der kompromittierte Postfächer nach wertvollen Inhalten durchsucht, sowie ein Modul namens "Saiga Mailer", das gewonnene Daten direkt für Folgeangriffe nutzt. Das zentrale Steuerungspanel "Saiga-Hub" erlaubt Angreifern die vollständige Verwaltung ihrer Kampagnen – von der Domain-Konfiguration über Traffic-Filterung bis hin zur Auswahl des visuellen Erscheinungsbilds (etwa Microsoft 365). Preislich liegt das Kit nach Angaben der Forscher über dem Durchschnitt vergleichbarer Phishing-as-a-Service-Angebote, was auf einen kleinen, zahlungskräftigen Abnehmerkreis schließen lässt.

Die Barracuda-Analysten empfehlen Organisationen als Schutzmaßnahmen den Einsatz phishing-resistenter Authentifizierungsverfahren wie FIDO2 oder WebAuthn, eine konsequente URL-Überprüfung sowie erweiterte Monitoring-Lösungen, die auffällige Authentifizierungsversuche erkennen. Dass Saiga bisher vergleichsweise selten im Umlauf war, macht das Kit nach Einschätzung der Forscher nicht weniger gefährlich - im Gegenteil: Die geringe Verbreitung und die damit einhergehende niedrige Detektionsrate spielen den Angreifern direkt in die Hände.