Cybersicherheitsforscher haben eine großangelegte Phishing-Kampagne aufgedeckt. Sie nutzt eine grundlegende Schwachstelle in Microsoft Outlook Add-ins aus. Ein ehemals legitimes Add-in namens „AgreeTo“ wurde von Angreifern übernommen und in ein Datensammel-Werkzeug verwandelt. Dabei wurden Daten von über 4.000 Nutzern gestohlen.
Die perfide „Zombie-Attacke“ aus dem Store
Die Angreifer nutzten das Vertrauen in geprüfte Software schamlos aus. Das Add-in „AgreeTo“ war ursprünglich ein Terminplaner aus dem offiziellen Microsoft Store. Nachdem der Entwickler das Projekt aufgab, ließ er die zugehörige Web-Domain auslaufen. Genau diese registrierten die Cyberkriminellen neu.
Sie ersetzten den harmlosen Code durch ein perfekt getarntes Phishing-Kit. Da die Erweiterung bereits von Microsoft genehmigt war, gab es keine erneute Sicherheitsprüfung. Für die bestehenden Nutzer änderte sich die Funktionalität unbemerkt im Hintergrund.
Die Phishing-Falle in der vertrauten Oberfläche
Der Angriff war für die Opfer kaum zu erkennen. Statt der Terminplanung sahen sie plötzlich eine gefälschte Microsoft-Anmeldeseite – direkt in der Outlook-Seitenleiste. Diese Einbettung in die vertraute Oberfläche ließ die Aufforderung zur Passworteingabe legitim erscheinen.
- Alle eingegebenen Daten – Passwörter, E-Mail-Adressen, sogar Kreditkartendetails – wurden im Hintergrund abgefangen.
- Die Informationen wurden direkt an einen Telegram-Bot der Angreifer gesendet.
- Zur Tarnung wurden die Nutzer anschließend auf die echte Microsoft-Login-Seite weitergeleitet.
Die Sicherheitsfirma Koi AI, die den Angriff aufdeckte, bestätigt: Die gestohlenen Anmeldedaten wurden von den Angreifern aktiv getestet.
Eine fundamentale Lücke im System
Der Vorfall deckt eine kritische Schwachstelle in der Architektur von Office-Add-ins auf. Diese Erweiterungen laden Inhalte von einer hinterlegten URL nach. Microsoft prüft zwar die Konfigurationsdatei bei der Erstaufnahme in den Store.
Eine kontinuierliche Überprüfung der nachgeladenen Inhalte findet jedoch nicht statt. Das schafft ein erhebliches Supply-Chain-Risiko. Das Vertrauen in den offiziellen Marktplatz wird ausgenutzt, um bösartigen Code zu verteilen.
Ein neuer, gefährlicher Angriffsvektor
Während herkömmliches Phishing auf gefälschte E-Mails setzt, fand dieser Angriff innerhalb der vertrauten Anwendung statt. Das senkt die Hemmschwelle der Nutzer radikal und erhöht die Erfolgschancen der Angreifer. Zudem umgeht die Methode viele traditionelle Sicherheitsfilter.
Sicherheitsexperten warnten lange vor den theoretischen Risiken dieser Architektur. Jetzt ist die Theorie Realität geworden. Selbst ein offizieller Marktplatz mit einer Bewertung von 4,71 Sternen bietet keinen absoluten Schutz.
Was Nutzer jetzt tun müssen
Microsoft hat das „AgreeTo“-Add-in inzwischen aus dem Store entfernt. Für betroffene Nutzer bleibt Handlungsbedarf:
- Add-in sofort entfernen: Deinstallieren Sie „AgreeTo“ aus Ihrem Outlook.
- Passwort zurücksetzen: Setzen Sie das Passwort für Ihr betroffenes Microsoft-Konto umgehend zurück.
- Zwei-Faktor-Authentifizierung aktivieren: Nutzen Sie diesen zusätzlichen Sicherheitsschutz, wo immer möglich.
Wenn Sie Outlook nach einem solchen Vorfall wirklich sicher nutzen möchten, hilft ein gezielter Leitfaden. Ein kostenloser Outlook‑Spezialkurs erklärt Schritt für Schritt, wie Sie Outlook richtig einrichten, verdächtige Add‑ins erkennen und typische Fehler vermeiden, die Angreifer ausnutzen. Jetzt kostenlosen Outlook-Guide herunterladen
Langfristig steht Microsoft in der Pflicht. Die Branche fordert schärfere Überprüfungsprozesse, wie regelmäßige Kontrollen oder strengere Sandboxing-Umgebungen für Add-ins. Andere Cyberkriminelle werden versuchen, diese Methode zu kopieren.
