Microsoft enttarnt Phishing-Kampagne gegen 35.000 Nutzer in 26 Ländern

Zusammenfassung

Microsoft hat Einzelheiten zu einer groß angelegten Kampagne zum Diebstahl von Zugangsdaten veröffentlicht. Die Angreifer kombinierten Köder rund um vermeintliche Verhaltenskodex-Prüfungen mit legitimen E-Mail-Diensten, um Nutzer auf von ihnen kontrollierte Domains zu lenken und Authentifizierungs-Token zu stehlen. Die mehrstufige Kampagne wurde nach Angaben des Microsoft Defender Security Research Team und von Microsoft Threat Intelligence zwischen dem 14. und 16. April 2026 beobachtet. Betroffen waren mehr als 35.000 Nutzer in über 13.000 Organisationen in 26 Ländern. 92 Prozent der Ziele befanden sich in den USA. Am stärksten betroffen waren das Gesundheits- und Biowissenschaftswesen (19 Prozent), Finanzdienstleister (18 Prozent), professionelle Dienstleistungen (11 Prozent) sowie Technologie- und Softwareunternehmen (11 Prozent). Die Phishing-Mails setzten auf gepflegte, im Unternehmensstil gehaltene HTML-Vorlagen mit strukturiertem Aufbau und vorweggenommenen Echtheitsbeteuerungen, die sie laut Microsoft glaubwürdiger als typische Phishing-Nachrichten erscheinen ließen. Weil die Nachrichten Vorwürfe und wiederholte, fristgebundene Handlungsaufforderungen enthielten, erzeugten sie Druck und ein Gefühl der Dringlichkeit.

Die Nachrichten gaben sich als interne Mitteilungen zu Verhaltenskodex-Prüfungen aus. Verwendet wurden Anzeigenamen wie „Internal Regulatory COC", „Workforce Communications" und „Team Conduct Report", dazu Betreffzeilen wie „Internal case log issued under conduct policy" oder „Reminder: employer opened a non-compliance case log". Am Kopf jeder Nachricht stand ein Hinweis, die Mail sei „über einen autorisierten internen Kanal versendet" worden und Links sowie Anhänge seien „für den sicheren Zugriff geprüft und freigegeben" — eine zusätzliche Beteuerung der angeblichen Echtheit.

Nach Einschätzung von Microsoft wurden die Mails über einen legitimen E-Mail-Zustelldienst verschickt. Sie enthielten einen PDF-Anhang, der vorgeblich weitere Informationen zur Verhaltensprüfung lieferte und die Opfer dazu verleiten sollte, einen Link im Dokument anzuklicken und so den Diebstahl der Zugangsdaten auszulösen.

Die Angriffskette führte die Opfer über mehrere CAPTCHA-Runden und Zwischenseiten, die der Masche einen Anschein von Seriosität verleihen und zugleich automatisierte Abwehrmechanismen aussperren sollten. Am Ende stand eine Anmeldemaske, die mit Adversary-in-the-Middle-Techniken (AiTM) in Echtzeit Microsoft-Zugangsdaten und Token abgriff. Damit konnten die Angreifer die Multi-Faktor-Authentifizierung (MFA) umgehen. Das endgültige Ziel hing laut Microsoft davon ab, ob der schädliche Ablauf von einem Mobilgerät oder einem Desktop-System ausgelöst wurde.

Die Offenlegung fällt mit einer Analyse der E-Mail-Bedrohungslage von Januar bis März 2026 zusammen. Demnach war QR-Code-Phishing der am schnellsten wachsende Angriffsweg, während sich CAPTCHA-gestütztes Phishing über verschiedene Payload-Typen hinweg rasch weiterentwickelte. Insgesamt registrierte Microsoft rund 8,3 Milliarden E-Mail-basierte Phishing-Bedrohungen. Knapp 80 Prozent davon waren linkbasiert, wobei große HTML- und ZIP-Dateien einen erheblichen Teil der verteilten schädlichen Payloads ausmachten. Ziel der meisten Angriffe war der Diebstahl von Zugangsdaten; der Anteil der Malware-Verbreitung sank bis Quartalsende auf nur noch 5 bis 6 Prozent.

Beim QR-Code-Phishing stieg das Volumen von 7,6 Millionen im Januar auf 18,7 Millionen im März — ein Anstieg um 146 Prozent. Gegen Ende März beobachtete Microsoft erstmals QR-Codes, die direkt in den Mail-Text eingebettet waren. Betrug per Business E-Mail Compromise (BEC) schwankte stärker und überschritt im März 2026 mit über 4 Millionen Angriffen den Wert von mehr als 3,5 Millionen im Januar; insgesamt wurden 10,7 Millionen BEC-Angriffe erfasst.

Microsoft zufolge versuchten die Betreiber der Phishing-as-a-Service-Plattform Tycoon 2FA nach einer koordinierten Störaktion im März 2026, ihre Hosting-Anbieter und Muster der Domain-Registrierung zu wechseln. Gegen Ende März habe sich Tycoon 2FA von Cloudflare als Hosting-Dienst abgewandt und hoste die meisten Domains nun über verschiedene Alternativplattformen — ein Hinweis darauf, dass die Gruppe Ersatzdienste mit vergleichbarem Schutz gegen Analyse suche. Während die meisten Phishing-Endpunkte einer Kampagne mit Tycoon 2FA verknüpft waren, ließ sich weitere Aktivität auf die Infrastruktur von Kratos (vormals Sneaky 2FA) und EvilTokens zurückführen.

Bereits in einem Bericht im Februar hatte Palo Alto Networks Unit 42 beschrieben, wie Angreifer QR-Codes als URL-Verkürzer missbrauchen, um schädliche Ziele zu verschleiern, Zugangsdaten über In-App-Deep-Links zu stehlen und durch direkte Downloads schädlicher Apps die Sicherheitsprüfungen der App-Stores zu umgehen.

Parallel dazu treten Phishing- und BEC-Kampagnen auf, die Amazon Simple Email Service (SES) als Zustellweg missbrauchen, um SPF-, DKIM- und DMARC-Prüfungen zu umgehen und über gefälschte Anmeldeseiten Zugangsdaten zu stehlen. Der Zugang zu Amazon SES erfolgt dabei häufig über geleakte AWS-Zugangsschlüssel. Das Tückische an diesen Angriffen liege laut Kaspersky darin, dass die Angreifer keine verdächtigen Domains nutzten, sondern eine Infrastruktur, der Nutzer wie Sicherheitssysteme vertrauten. Über gekaperte Zugangsschlüssel könnten sie Tausende von Phishing-Mails versenden, die die E-Mail-Authentifizierung bestehen, von kaum gesperrten IP-Adressen stammen und auf täuschend echt wirkende Phishing-Formulare verweisen.

Microsoft enttarnt Phishing-Kampagne gegen 35.000 Nutzer in 26 Ländern

Ähnliche Artikel

Neueste Artikel