
Ein legitimes Outlook-Add-In, das auf dem Marktplatz von Microsoft gelistet ist, wurde gekapert und in ein Phishing-Kit umgewandelt, wodurch Tausende von Microsoft-Anmeldeinformationen gestohlen wurden.
Sicherheitsforscher von Koi Security berichten, dass das AgreeTo Outlook-Add-in kompromittiert wurde, nachdem ein Bedrohungsakteur die Kontrolle über eine verlassene Hosting-URL übernommen hatte. Der Vorfall führte Berichten zufolge zum Diebstahl von mehr als 4.000 Anmeldeinformationen für Microsoft-Konten sowie weiteren sensiblen Daten.
Legitimes Outlook-Add-In missbraucht, um Microsoft-Anmeldeinformationen zu stehlen
AgreeTo wurde ursprünglich als legitimes Tool zur Besprechungsplanung eingeführt, das von einem unabhängigen Herausgeber entwickelt wurde. Microsoft hatte es seit Dezember 2022 im Office Add-in Store gelistet.
Office-Add-Ins werden nicht direkt über die Infrastruktur von Microsoft ausgeführt. Stattdessen laden sie Inhalte von vom Entwickler gehosteten URLs. In diesem Fall stützte sich AgreeTo auf eine von Vercel gehostete Domäne: outlook-one.vercel.app.
Nachdem der ursprüngliche Entwickler die URL aufgegeben hatte, übernahm ein Bedrohungsakteur die Kontrolle über die verwaiste Adresse und ersetzte deren Inhalt durch ein Phishing-Kit. Da Microsoft Add-In-Manifestdateien signiert und überprüft, gehostete Inhalte jedoch nach der Genehmigung nicht kontinuierlich überprüft, blieben die schädlichen Inhalte unbemerkt.
Gefälschte Microsoft-Anmeldung in Outlook
Laut Koi-Forschern zeigte das kompromittierte Add-in eine gefälschte Microsoft-Anmeldeseite in der Seitenleiste von Outlook an. Die Seite ahmte die legitime Microsoft-Anmeldeschnittstelle zum Erfassen von Anmeldeinformationen weitgehend nach.
Nachdem die Opfer ihre Daten eingegeben hatten, leitete das Add-in sie zur echten Microsoft-Anmeldeseite weiter, um den Verdacht zu verringern. Forscher sagen, dass Angreifer aktiv gestohlene Zugangsdaten getestet und in einigen Fällen auch Kreditkartennummern und Banksicherheitsfragen gesammelt haben.
Berichten zufolge blieb die bösartige Version im Microsoft Store verfügbar, bis sie heute entfernt wurde.
Erster bestätigter Marketplace-Malware-Fall
Koi-Forscher beschreiben den Vorfall als die erste bestätigte Malware-Kampagne, die über den offiziellen Marketplace von Microsoft gehostet wird, und als das erste schädliche Outlook-Add-In, das in freier Wildbahn entdeckt wurde.
Der Betreiber hinter der Kampagne betreibt angeblich mindestens ein Dutzend weitere Phishing-Kits, was auf eine umfassendere Infrastruktur für das Sammeln von Anmeldedaten schließen lässt.
Benutzer, die AgreeTo noch installiert haben, sollten das Add-in sofort entfernen. Betroffene Personen sollten die Passwörter ihres Microsoft-Kontos zurücksetzen, die Multi-Faktor-Authentifizierung aktivieren und die letzten Kontoaktivitäten auf verdächtiges Verhalten überprüfen.
Der Vorfall folgt auf andere aktuelle Sicherheitsbedenken im Microsoft-Ökosystem, darunter Phishing-Kampagnen, die SharePoint missbrauchen, und eine kürzlich gepatchte Notepad-Schwachstelle, die die Remote-Skriptausführung ermöglichte.
In anderen Nachrichten hat Exchange Online Berichten zufolge legitime E-Mails fälschlicherweise als Phishing-Versuche gekennzeichnet. Microsoft hat das Problem erkannt und arbeitet derzeit an einer Lösung.
Microsoft hatte zum Zeitpunkt der Berichterstattung keine öffentliche Stellungnahme abgegeben.
Über BleepingComputer
*️⃣ Quelllink:
Koi-Sicherheitsbericht, Phishing-Kampagnen, die SharePoint missbrauchen, Notepad-Schwachstelle, fälschliche Kennzeichnung legitimer E-Mails als Phishing, BleepingComputer ,