Nach der Übernahme eines Kontos richtet Storm-2755 laut Microsoft zunächst Posteingangsregeln ein, die Nachrichten der Personalabteilung mit den Begriffen „direct deposit" (Direktüberweisung) oder „bank" automatisch in versteckte Ordner verschieben. So bemerken die Betroffenen den entsprechenden Schriftverkehr nicht.
Anschließend durchsuchen die Angreifer das Postfach nach Begriffen wie „payroll", „HR", „direct deposit" und „finance". Mit E-Mails an die Personalabteilung unter dem Betreff „Question about direct deposit" („Frage zur Direktüberweisung") versuchen sie, die Mitarbeiter zur Änderung der hinterlegten Bankverbindung zu bewegen. Scheitert diese Social-Engineering-Masche, melden sich die Täter direkt in HR-Plattformen wie Workday an und ändern die Überweisungsdaten über die gestohlene Sitzung manuell.
Microsoft erläutert die technische Grundlage der Angriffe: AiTM-Frameworks würden nicht nur Benutzernamen und Passwörter abgreifen, sondern den gesamten Authentifizierungsvorgang in Echtzeit über einen Proxy leiten. Dadurch ließen sich die nach erfolgreicher Anmeldung ausgestellten Sitzungscookies und OAuth-Zugriffstoken erfassen. Da diese Token eine vollständig authentifizierte Sitzung darstellten, könnten die Angreifer sie wiederverwenden, um ohne erneute Abfrage von Zugangsdaten oder MFA auf Microsoft-Dienste zuzugreifen – und damit ältere, nicht phishing-resistente MFA-Schutzmechanismen aushebeln.
Zur Abwehr empfiehlt Microsoft, veraltete Authentifizierungsprotokolle zu blockieren und phishing-resistente MFA einzusetzen. Bei Anzeichen einer Kompromittierung sollten betroffene Token und Sitzungen sofort widerrufen, schädliche Posteingangsregeln entfernt sowie MFA-Methoden und Zugangsdaten aller betroffenen Konten zurückgesetzt werden.
Es ist nicht der erste derartige Fall: Im Oktober unterband Microsoft nach eigenen Angaben eine weitere Payroll-Pirate-Kampagne gegen Workday-Konten, die seit März 2025 lief. Dabei hatte eine als Storm-2657 verfolgte Gruppe Beschäftigte von Universitäten in den USA ins Visier genommen, um deren Gehaltszahlungen abzuzweigen. Storm-2657 verschaffte sich über Phishing-E-Mails Zugang zu den Konten und entwendete per AiTM-Taktik MFA-Codes, womit sich die Exchange-Online-Konten der Opfer kompromittieren ließen.
Payroll-Pirate-Angriffe sind eine Variante des Business E-Mail Compromise (BEC), die sich gegen Unternehmen und Personen richtet, die regelmäßig Überweisungen vornehmen. Im vergangenen Jahr registrierte das Internet Crime Complaint Center (IC3) des FBI mehr als 24.000 BEC-Beschwerden mit Schäden von über drei Milliarden US-Dollar – damit ist BEC nach Anlagebetrug die zweitlukrativste Betrugsart.
