Raccoon O365: Microsoft zerschlägt Phishing-Dienst
Microsofts Digital Crime Unit (DCU) hat einen Phishing-Dienst zerschlagen(öffnet im neuen Fenster) , der zum Diebstahl von Anmeldedaten für Microsoft 365 benutzt wurde. Der Raccoon O365 genannte Dienst hatte sich laut Microsoft auf Aboangebote für Phishing-Kits spezialisiert, mit denen auch Laien täuschend echte Log-in-Seiten für Microsoft-Dienste nachahmen konnten.
Laut Unternehmen waren die Phishing-Kits seit Juli 2024 erhältlich. Damit sollen Cyberkriminelle mindestens 5.000 Anmeldedaten für Microsoft-Konten in 94 Ländern entwendet haben. Die Gruppe, die den Dienst betrieb, bezeichnet Microsoft als Storm-2246.
Die als Abonnement angebotenen Werkzeuge erlaubten nicht nur die Erstellung von gefälschten Log-in-Seiten, sie halfen Angreifern auch bei der Gestaltung von betrügerischen E-Mails und Dateianhängen. Die Verwendung von Microsoft-Logos und anderen Merkmalen sollten die Nachrichten und Websites legitim erscheinen lassen und Empfänger dazu verleiten, Dateianhänge zu öffnen oder auf Links zu klicken.
Microsoft beschlagnahmt 338 Phishing-Seiten
Unterstützt wurden Microsofts Ermittler unter anderem von Partnern wie Cloudflare. Zudem konnte das Unternehmen mit einem Beschluss eines Bezirksgerichts im US-Bundesstaat New York die Domains von 338 Websites beschlagnahmen, die in Verbindung zu Raccoon O365 standen.
"Obwohl nicht alle gestohlenen Informationen aufgrund der Vielzahl von Sicherheitsfunktionen, die zur Abwehr von Bedrohungen eingesetzt werden, zu kompromittierten Netzwerken oder Betrug führen, unterstreichen diese Zahlen das Ausmaß der Bedrohung und zeigen, dass Social Engineering nach wie vor eine beliebte Taktik von Cyberkriminellen ist" , teilte Microsoft mit.
Die DCU warnt zudem vor einer Zunahme von Diensten wie Raccoon O365, die einfach zugänglich sind und intensiv vermarktet werden. Im vergangenen Jahr habe sich der Dienst stetig weiterentwickelt und mit Upgrades auf die gestiegene Nachfrage reagiert. Als Beispiel nannte Microsoft Techniken zur Umgehung von Mehrfaktorauthentifizierungen, die zu dem Dienst hinzugefügt wurden. Zudem hätten die Hintermänner auch einen KI-basierten Dienst beworben, um die Effektivität von Angriffen zu steigern.
Die Hintermänner sitzen in Nigeria
Die Phishing-E-Mails von Raccoon O365 sollen auch als Türöffner für Schadsoftware und Ransomware eingesetzt worden sein. In den USA gehörten unter anderem 20 Unternehmen aus dem Gesundheitssektor zu den Zielen.
Als Initiator wurde ein Mann in Nigeria identifiziert. Die Abos für Raccoon O365 wurden demnach über eine Telegram-Gruppe mit mehr als 850 Mitgliedern vermarktet. Zudem sollen die Hintermänner Zahlungen in Kryptowährungen in Höhe von mindestens 100.000 Dollar erhalten haben. Microsoft schätzt, dass damit zwischen 100 und 200 Abonnements bezahlt wurden. Die Gesamtzahl der verkauften Abonnements soll deutlich höher sein.