Forscher haben ein bösartiges Microsoft Outlook-Add-in entdeckt, mit dem 4.000 gestohlene Microsoft-Kontodaten, Kreditkartennummern und Sicherheitsfragen für Bankkonten abgegriffen werden konnten.
Wie ist es möglich, dass der Microsoft Office Add-in Store ein Add-in gelistet hat, das unbemerkt ein Phishing-Kit in die Seitenleiste von Outlook geladen hat?
Ein Entwickler brachte ein Add-in namens AgreeTo auf den Markt, ein Open-Source-Tool zur Terminplanung mit einer Chrome . Es war ein beliebtes Tool, wurde jedoch irgendwann vom Entwickler aufgegeben, seine Backend-URL auf Vercel lief ab und ein Angreifer beanspruchte später dieselbe URL für sich.
Das bedarf einer Erklärung. Office-Add-Ins sind im Wesentlichen XML-Manifeste, die Outlook anweisen, eine bestimmte URL in einem Iframe zu laden. Microsoft überprüft und signiert das Manifest einmalig, überwacht jedoch nicht kontinuierlich, was diese URL später bereitstellt.
Als die Subdomain outlook-one.vercel.app frei wurde, nutzte ein Cyberkrimineller die Gelegenheit, um sie sich zu sichern und die leistungsstarken ReadWriteItem-Berechtigungen zu missbrauchen, die 2022 beantragt und genehmigt worden waren. Diese Berechtigungen bedeuteten, dass das Add-in beim Laden die E-Mails eines Benutzers lesen und ändern konnte. Die Berechtigungen waren für einen Terminplaner angemessen, dienten dem Kriminellen jedoch einem anderen Zweck.
Während Google die nicht mehr funktionierende Chrome im Februar 2025 entfernte, blieb das Outlook-Add-in weiterhin im Microsoft Office Store gelistet und verwies weiterhin auf eine Vercel-URL, die nicht mehr dem ursprünglichen Entwickler gehörte.
Ein Angreifer registrierte diese Vercel-Subdomain und stellte ein einfaches, vierseitiges Phishing-Kit bereit, das aus einer gefälschten Microsoft-Anmeldung, einer Passwortsammlung, einer Telegram-basierten Datenexfiltration und einer Weiterleitung zur echten login.microsoftonline.com bestand.
Was dies funktionieren ließ, war einfach und effektiv. Wenn Benutzer das Add-in öffneten, sahen sie etwas, das wie eine normale Microsoft-Anmeldung in Outlook aussah. Sie gaben ihre Anmeldedaten ein, die über eine JavaScript-Funktion zusammen mit IP-Daten an den Telegram-Bot des Angreifers gesendet wurden, und wurden dann zur echten Microsoft-Anmeldung weitergeleitet, sodass nichts verdächtig erschien.
Die Forscher konnten auf den schlecht gesicherten Telegram-basierten Exfiltrationskanal des Angreifers zugreifen und mehr als 4.000 Sätze gestohlener Microsoft-Kontodaten sowie Zahlungs- und Bankdaten wiederherstellen, was darauf hindeutet, dass die Kampagne aktiv war und Teil einer größeren Phishing-Operation gegen mehrere Marken war.
„Derselbe Angreifer betreibt mindestens 12 verschiedene Phishing-Kits, die jeweils eine andere Marke imitieren – kanadische Internetdienstanbieter, Banken, Webmail-Anbieter. Zu den gestohlenen Daten gehörten nicht nur E-Mail-Anmeldedaten, sondern auch Kreditkartennummern, CVVs, PINs und Sicherheitsfragen für Bankkonten, die zum Abfangen von Interac-E-Transfer-Zahlungen verwendet wurden. Es handelt sich um eine professionelle Phishing-Aktion, die mehrere Marken betrifft. Das Outlook-Add-in war nur einer der Vertriebskanäle.“
Was tun?
Wenn Sie das AgreeTo-Add-in nach Mai 2023 verwenden oder jemals verwendet haben:
- Stellen Sie sicher, dass es entfernt wurde. Ist dies nicht der Fall, deinstallieren Sie das Add-In.
- Ändern Sie das Passwort für Ihr Microsoft-Konto.
- Wenn dieses Passwort (oder ähnliche Varianten) auch für andere Dienste (E-Mail, Online-Banking, SaaS, soziale Netzwerke) verwendet wurde, ändern Sie diese ebenfalls und wählen Sie für jeden Dienst ein einzigartiges Passwort.
- Überprüfen Sie die letzten Anmeldungen und Sicherheitsaktivitäten in Ihrem Microsoft-Konto und achten Sie dabei auf Anmeldungen von unbekannten Orten oder Geräten oder zu ungewöhnlichen Zeiten.
- Überprüfen Sie andere sensible Informationen, die Sie möglicherweise per E-Mail weitergegeben haben.
- Überprüfen Sie Ihren Posteingang auf Anzeichen von Missbrauch: Nachrichten, die Sie nicht gesendet haben, automatische Weiterleitungsregeln, die Sie nicht erstellt haben, oder E-Mails zum Zurücksetzen des Passworts für andere Dienste, die Sie nicht angefordert haben.
- Beobachten Sie Ihre Zahlungsaufstellungen zumindest in den nächsten Monaten genau, insbesondere kleine „Test“-Belastungen und unerwartete E-Überweisungen oder Transaktionen ohne Vorlage der Karte, und beanstanden Sie verdächtige Vorgänge sofort.
Wir berichten nicht nur über Bedrohungen – wir helfen Ihnen dabei, Ihre gesamte digitale Identität zu schützen.
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Schützen Sie Ihre persönlichen Daten und die Ihrer Familie durch Identitätsschutz.
