Add-ins sind ja als "Software-Helfer" allgegenwärtig. Aber es droht permanent die Gefahr, dass solche Add-Ins plötzlich schädliche Funktionen implantiert bekommen. Ein einst recht beliebtes Outlook-Add-Ins hat 4.000 Anmeldedaten und Zahlungsdaten abgegriffen, nachdem der Entwickler das Projekt aufgegeben und ein Krimineller die Domain übernommen hat.
Outlook Add-in gekapert, stiehlt Anmelde-/Zahlungsdaten
Ich bin bereits die Tage über die betreffende Meldung von Malwarebytes auf das Thema aufmerksam geworden. Nachfolgender Post verweist auf den Beitrag Outlook add-in goes rogue and steals 4,000 credentials and payment data des Malwarebytes-Autors P vom 12. Februar 2026.
Sicherheitsforscher von Koi.ai sind auf das erste schädliche Outlook Add-in gestoßen, welches aus dem Store stammt und Code zum Stehlen von Daten beinhaltet. Allerdings ist der Entwickler des Outlook Add-in nicht der Angreifer gewesen.
Die Details des Vorfalls
Es ist die alte Geschichte: Im Jahr 2022 entwickelte ein Entwickler ein Tool namens AgreeTo zur Terminplanung in Form eines Outlook Add-Ins. Das Tool wurde im Microsoft Office Add-in Store veröffentlicht und war eigentlich populär. Dann wandte sich der Entwickler anderen Projekten zu, und das Projekt wurde eingestellt.
Dummerweise blieb das Add-In im Microsoft Office Add-in Store gelistet, konnte also noch heruntergeladen werden. Und dann nahm die Katastrophe ihren Lauf: Eine URL verwies auf eine Domain, die bei Vercel gehostet werden, die ablief.
Dazu muss man wissen, dass Office-Add-Ins im Wesentlichen XML-Manifeste sind , die Outlook anweisen, eine bestimmte URL in einem Iframe zu laden. Microsoft überprüft und signiert das Manifest einmalig, überwacht jedoch nicht kontinuierlich, was diese URL später bereitstellt.
Backend-URL auf Vercel lief ab und als die Subdomain outlook-one.vercel.app frei wurde, nutzte ein Cyberkrimineller die Gelegenheit, um sie sich diese zu sichern. Der Angreifer setzte ein Phishing-Kit ein, welches über die Subdomain des Outlook Add-Ins ausgeliefert wurde. Der ursprüngliche Entwickler hatte 2022 recht weitgehende ReadWriteItem-Berechtigungen beantragt und diese von Microsoft auch erhalten. So durfte das Add-In die E-Mails eines Benutzers beim Laden lesen und ändern konnte. Die Berechtigungen waren für einen Terminplaner angemessen. Mit dem Phishing-Kit konnte der Angreifer aber diese Berechtigungen missbrauchen.
Sobald der Angreifer Kontrolle über die Subdomain hatte, stellte er den Phishing-Kit mit dem Add-In für Outlook bereit. Die Nutzlast wurden dann über die Infrastruktur von Microsoft allen Benutzern, die das Add-in installiert hatten, in der Seitenleiste von Outlook bereitgestellt. Der Schadsoftware-Teil des Add-Ins begann dann Daten abzufischen.
Durch den Zugriff auf den Exfiltrationskanal des Angreifers konnten die Sicherheitsforscher den gesamten Umfang der Operation ermitteln. Über 4.000 Anmeldedaten für Microsoft-Konten, Kreditkartennummern und Sicherheitsfragen für Bankkonten wurden gestohlen. Der Angreifer testete noch die Tage aktiv die gestohlenen Anmeldedaten. Die Infrastruktur war zum Zeitpunkt der Veröffentlichung des Artikels der Sicherheitsforscher noch aktiv.
MVP: 2013 – 2016
