Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Add-in kompromittiert: Tausende Microsoft-Konten über Outlook gekapert

Ein Angreifer hat die Domain eines einst nützlichen Add-ins für Outlook übernommen und bei den Nutzern Zugangsdaten abgefischt.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Angreifer konnten über ein Outlook-Add-in Passwörter für Microsoft-Konten abgreifen. (Bild: Martin Bertrand / Hans Lucas / AFP via Getty Images)
Angreifer konnten über ein Outlook-Add-in Passwörter für Microsoft-Konten abgreifen. Bild: Martin Bertrand / Hans Lucas / AFP via Getty Images

Sicherheitsforscher von Koi Security haben erstmals ein mit Schadcode verseuchtes Add-in für Outlook entdeckt, mit dem ein Angreifer unter anderem die Zugangsdaten für mehr als 4.000 Microsoft-Accounts abgreifen konnte. Das Add-in war nicht von Beginn an bösartig, sondern wurde laut Bericht der Forscher(öffnet im neuen Fenster) nachträglich kompromittiert.

Das Add-in trägt den Namen AgreeTo und wurde im Dezember 2022 veröffentlicht. Es handelt sich um ein Planungstool für Meetings das sich über den Add-in-Store für Microsoft Office installieren ließ. Der Entwickler hatte seine Arbeiten an AgreeTo jedoch schon im Mai 2023 eingestellt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Es gab auch eine zugehörige Chrome-Erweiterung, die jedoch im Februar 2025 aus dem Chrome Web Store entfernt wurde. Im Add-in-Store für Microsoft Office blieb das Projekt allerdings erhalten. Nach einiger Zeit lief die Domain ab, über die AgreeTo bereitgestellt wurde. Infolgedessen wurde sie vom Angreifer übernommen.

Auch Kreditkartennummern betroffen

Der Angreifer bediente sich anschließend eines Phishing-Kits , um über das Add-in eine gefälschte Microsoft-Anmeldeseite einzublenden. Dort eingegebene Zugangsdaten wurden über eine Bot-API von Telegram ausgeleitet. Anschließend wurden die AgreeTo-Nutzer zum echten Microsoft-Log-in weitergeleitet, wo sie erneut zur Anmeldung aufgefordert wurden.

Die Koi-Forscher waren nach eigenen Angaben in der Lage, in die Infrastruktur des Angreifers einzudringen. Dort stellten sie fest, dass er nicht nur E-Mail-Adressen und Passwörter von mehr als 4.000 Outlook-Nutzern erbeutet hatte.

Die Forscher fanden auch Kreditkartennummern, zugehörige CVVs und PINs und sogar Antworten auf Sicherheitsfragen von weiteren Betroffenen. Der Angreifer betreibt den Angaben zufolge mehrere Phishing-Operationen, die unter anderem auf Banken und Webmail-Provider abzielen.

Kritik an Kontrollen im Store

Im Hinblick auf das Outlook-Add-in kritisierten die Forscher strukturelle Probleme, die den Angriff überhaupt erst ermöglicht hätten. Microsoft prüfe Add-ins zwar vor der Aufnahme in den Store, danach könne der bereitgestellte Inhalt jedoch jederzeit ohne zusätzliche Überprüfung geändert werden, da er über eine externe URL nachgeladen werde.

Zudem hätte der Angreifer über AgreeTo noch mehr anstellen können. Er habe das Tool zwar nur für eine einfache Phishing-Seite missbraucht, "aber nichts hinderte ihn daran, mit Javascript unbemerkt den Posteingang zu lesen oder Phishing-Mails vom Konto des Opfers zu verschicken" , hieß es. Die Berechtigung dafür sei von Microsoft erteilt worden, als das Add-in noch legitim war.

Zur Startseite Kommentare

Relevante Themen

SoftwareToolsSecurityCybercrimeDatensicherheitOfficeDomainPasswortOutlook