![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Add-ins sind ja als \"Software-Helfer\" allgegenw\u00e4rtig. Aber es droht permanent die Gefahr, dass solche Add-Ins pl\u00f6tzlich sch\u00e4dliche Funktionen implantiert bekommen. Ein einst recht beliebtes Outlook-Add-Ins hat 4.000 Anmeldedaten und Zahlungsdaten abgegriffen, nachdem der Entwickler das Projekt aufgegeben und ein Krimineller die Domain \u00fcbernommen hat.<\/p>\n
<\/p>\n
Sicherheitsforscher von Koi.ai sind auf das erste sch\u00e4dliche Outlook Add-in gesto\u00dfen<\/a>, welches aus dem Store stammt und\u00a0 Code zum Stehlen von Daten beinhaltet. Allerdings ist der Entwickler des Outlook Add-in nicht der Angreifer gewesen.<\/p>\n Es ist die alte Geschichte: Im Jahr 2022 entwickelte ein Entwickler ein Tool namens AgreeTo<\/em> zur Terminplanung in Form eines Outlook Add-Ins. Das Tool wurde im Microsoft Office Add-in Store ver\u00f6ffentlicht und war eigentlich popul\u00e4r. Dann wandte sich der Entwickler anderen Projekten zu, und das Projekt wurde eingestellt.<\/p>\n Dummerweise blieb das Add-In im Microsoft Office Add-in Store gelistet, konnte also noch heruntergeladen werden. Und dann nahm die Katastrophe ihren Lauf: Eine URL verwies auf eine Domain, die bei Vercel gehostet werden, die ablief.<\/p>\n Dazu muss man wissen, dass Office-Add-Ins im Wesentlichen XML-Manifeste sind , die Outlook anweisen, eine bestimmte URL in einem Iframe zu laden. Microsoft \u00fcberpr\u00fcft und signiert das Manifest einmalig, \u00fcberwacht jedoch nicht kontinuierlich, was diese URL sp\u00e4ter bereitstellt.<\/p><\/blockquote>\n Backend-URL auf Vercel lief ab und als die Subdomain outlook-one.vercel.app<\/em> frei wurde, nutzte ein Cyberkrimineller die Gelegenheit, um sie sich diese zu sichern. Der Angreifer\u00a0 setzte ein Phishing-Kit ein, welches \u00fcber die Subdomain des Outlook Add-Ins ausgeliefert wurde. Der urspr\u00fcngliche Entwickler hatte 2022 recht weitgehende ReadWriteItem-Berechtigungen beantragt und diese von Microsoft auch erhalten. So durfte das Add-In die E-Mails eines Benutzers beim Laden lesen und \u00e4ndern konnte. Die Berechtigungen waren f\u00fcr einen Terminplaner angemessen.\u00a0Mit dem Phishing-Kit konnte der Angreifer aber diese Berechtigungen missbrauchen.<\/p>\n Sobald der Angreifer Kontrolle \u00fcber die Subdomain hatte, stellte er den Phishing-Kit mit dem Add-In f\u00fcr Outlook bereit. Die Nutzlast wurden dann \u00fcber die Infrastruktur von Microsoft allen Benutzern, die das Add-in installiert hatten, in der Seitenleiste von Outlook bereitgestellt. Der Schadsoftware-Teil des Add-Ins begann dann Daten abzufischen.<\/p>\n Durch den Zugriff auf den Exfiltrationskanal des Angreifers konnten die Sicherheitsforscher den gesamten Umfang der Operation ermitteln. \u00dcber 4.000 Anmeldedaten f\u00fcr Microsoft-Konten, Kreditkartennummern und Sicherheitsfragen f\u00fcr Bankkonten wurden gestohlen. Der Angreifer testete noch die Tage aktiv die gestohlenen Anmeldedaten. Die Infrastruktur war zum Zeitpunkt der Ver\u00f6ffentlichung des Artikels\u00a0 der Sicherheitsforscher noch aktiv.<\/p>\n","protected":false},"excerpt":{"rendered":" Add-ins sind ja als \"Software-Helfer\" allgegenw\u00e4rtig. Aber es droht permanent die Gefahr, dass solche Add-Ins pl\u00f6tzlich sch\u00e4dliche Funktionen implantiert bekommen. Ein einst recht beliebtes Outlook-Add-Ins hat 4.000 Anmeldedaten und Zahlungsdaten abgegriffen, nachdem der Entwickler das Projekt aufgegeben und ein Krimineller … Weiterlesen Ich bin bereits die Tage \u00fcber die betreffende Meldung von Malwarebytes auf das Thema aufmerksam geworden. Nachfolgender Post verweist auf den Beitrag\u00a0Outlook add-in goes rogue and steals 4,000 credentials and payment data<\/a> des Malwarebytes-Autors Pieter Arntz<\/span><\/span> vom 12. Februar 2026.<\/p>\n
![\"Sch\u00e4dliches](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-61.png\")
<\/a><\/p>\nDie Details des Vorfalls<\/h2>\n