Eine verwaiste Outlook-Erweiterung hat tausende Nutzerdaten gestohlen. Sicherheitsforscher deckten diese Woche eine raffinierte Cyber-Kampagne auf, die das ehemals legitime Add-in „AgreeTo“ missbrauchte. Microsoft hat die bösartige Erweiterung inzwischen aus seinem Store entfernt.
Die als „AgreeToSteal“ bekannte Attacke nutzte das Add-in, um Anmeldedaten, Kreditkartendaten und sogar Sicherheitsantworten für Online-Banking abzugreifen. Es ist der erste öffentlich dokumentierte Fall, bei dem ein bösartiges Outlook-Add-in aktiv für solche Angriffe genutzt wurde.
Wie aus einem Tool eine Falle wurde
Der Angriff basierte auf einer einfachen, aber wirkungsvollen Taktik: Die Übernahme eines verwaisten Projekts. Das Add-in „AgreeTo“ war ursprünglich ein Werkzeug zur Terminplanung. Nachdem der Entwickler das Projekt aufgab, wurde auch die zugehörige Web-Domain frei.
Cyberkriminelle registrierten die Domain neu und ersetzten den ursprünglichen Code durch ein bösartiges Phishing-Kit. Für bestehende Nutzer änderte sich die Funktionalität unbemerkt. Statt des Kalenders sahen sie plötzlich eine gefälschte Microsoft-Anmeldeseite in ihrer Outlook-Seitenleiste.
- Eingegebene Daten wurden sofort an die Angreifer weitergeleitet.
- Anschließend wurden die Nutzer zur echten Login-Seite umgeleitet, um keinen Verdacht zu erregen.
Das grundlegende Sicherheitsproblem
Der Vorfall deckt eine kritische Lücke in der Architektur von Office-Add-ins auf. Diese Erweiterungen laden ihren Inhalt dynamisch von einer festgelegten URL. Microsoft prüft diese URL zwar bei der Erstveröffentlichung, überwacht aber nicht kontinuierlich, was von dort später geladen wird.
Ändert sich – wie hier geschehen – der Inhalt auf der Server-URL, bleibt das für die Sicherheitssysteme unsichtbar. Experten sehen darin eine neue Form der Supply-Chain-Attacke, die das Vertrauen in einen offiziellen Marktplatz ausnutzt.
Über 4.000 Konten kompromittiert
Die Sicherheitsfirma Koi Security konnte den Datenabfluss der Angreifer analysieren. Das Ergebnis ist alarmierend:
- Mehr als 4.000 Microsoft-Konten wurden kompromittiert.
- Gestohlen wurden Passwörter, E-Mail-Adressen, Kreditkartendaten mit CVV-Codes und PINs.
- Die Angreifer zielten gezielt auf Sicherheitsfragen kanadischer Banken ab, was auf eine professionelle Phishing-Operation hindeutet.
Microsoft reagierte nach der Benachrichtigung umgehend und entfernte das Add-in aus dem Store. Doch die Frage bleibt: Reicht eine einmalige Prüfung bei dynamischen Inhalten noch aus?
Was Nutzer jetzt tun sollten
Der Fall ist ein Weckruf für die Gefahren durch nicht mehr gewartete Software. Nutzer sollten ihre installierten Add-ins überprüfen und unbekannte Erweiterungen deinstallieren.
Gerade nach Angriffen wie „AgreeToSteal“ ist es wichtig, Outlook richtig abzusichern. Der kostenlose Outlook‑Spezialkurs zeigt Schritt für Schritt, wie Sie Outlook sicher einrichten, Add‑ins prüfen und Kontoeinstellungen schützen – inklusive praktischer Checklisten und Zeitspar‑Tipps. So reduzieren Sie das Risiko, dass schädliche Erweiterungen unbemerkt Daten abgreifen. Jetzt kostenlosen Outlook-Guide sichern
Wer „AgreeTo“ genutzt hat, muss handeln:
* Passwörter für das Microsoft-Konto und andere Dienste sofort ändern.
* Kontoauszüge auf verdächtige Transaktionen prüfen.
* Multi-Faktor-Authentifizierung (MFA) aktivieren – sie ist die wirkungsvollste Schutzmaßnahme.
Für Unternehmen wird die Kontrolle über Drittanbieter-Add-ins immer wichtiger. Administratoren sollten Installationen einschränken und regelmäßig prüfen, welche Erweiterungen im Einsatz sind. Angreifer werden diese „Zombie-App“-Taktik wohl weiter verfeinern.
