Mimecast Logo
Angebot einholen

    „Browser-in-the-Browser“ (BitB)-Phishing-Kampagne

    24. Juni 2026

    Von Rikesh Vekaria

    Wichtige Punkte
    • Eine „Quishing“-Kampagne mit über 4.000 Angriffen, bei der bösartige QR-Codes in absichtlich fehlerhaft gestaltete Anhänge von Kalendereinladungen eingebettet wurden
    • Angreifer verstoßen gegen die RFC-5545-Spezifikation, um automatisierte Tools zur Extraktion und Analyse von QR-Codes zu umgehen
    • 43.000 E-Mails innerhalb eines Monats, in denen Kalendereinladungen missbraucht wurden

    Kampagnenübersicht

    Angreifer haben einen neuen Weg gefunden, um QR-Code-Analyse-Tools zu umgehen: Sie beschädigen die Datei absichtlich.

    Im Mai 2026 identifizierte das Mimecast Threat Research-Team eine groß angelegte Quishing-Kampagne, bei der bösartige QR-Codes in Anhänge von Kalendereinladungen eingebettet und diese Anhänge absichtlich so verfälscht wurden, dass sie gegen RFC 2445 verstießen – die Spezifikation, auf der Kalenderdateien basieren. Das Ergebnis war, dass automatisierte Tools, die versuchten, den QR-Code zu extrahieren und zu analysieren, bereits in der Parsing-Phase scheiterten, noch bevor sie etwaige schädliche Elemente identifizieren konnten.

    Die Kampagne wies zudem Anzeichen einer unvollständigen Automatisierung auf. Das Bild in jeder E-Mail zeigte eine Aufforderung mit dem Microsoft-Logo, doch der Alternativtext verwies auf die eigene Domain der Empfängerorganisation, was darauf hindeutet, dass das Tool des Angreifers darauf ausgelegt war, das Logo des Ziels dynamisch abzurufen, dies jedoch nicht gelang. Absenderadressen, Betreffzeilen und Nachrichteninhalte wurden durchgehend variiert, um insbesondere auf Signaturen und Reputation basierende Kontrollen zu umgehen.

    Mai 2026: Angriffskampagne mit fehlerhaftem ICS-Quishing

    Aufbau und Durchführung der Kampagne

    The Rise1.png

    Bildunterschrift: Der Anhang der Kalendereinladung enthielt einen QR-Code, der den Empfänger nach dem Scannen durch einen manuellen Verifizierungsschritt leitete, bevor der schädliche Inhalt übermittelt wurde.

    The Rise2.png

    Bildunterschrift: Diese Zwischenstufe wurde konzipiert, um automatisierte Analysen zu umgehen und dem Erlebnis einen Anschein von Legitimität zu verleihen.

    The Rise3.png

    Bildunterschrift: Während der gesamten Kampagne variierten Absenderadressen, Betreffzeilen und Nachrichteninhalte ständig, wodurch die auf Signaturen basierende Erkennung deutlich an Wirksamkeit verlor.

    Mehrschichtige Ausweichtechniken

    Im Rahmen der Kampagne wurden verschiedene Umgehungsstrategien kombiniert, um jede Ebene der automatisierten Erkennung systematisch zu umgehen:

    Vertrauenswürdige Herkunft: Die Nachrichten wurden von Google-Mail-Servern versendet und haben die SPF-, DKIM- und DMARC-Authentifizierung bestanden, wodurch sie bei den empfangenden Systemen einen einwandfreien Absender-Ruf aufweisen.

    Minimale Datenmenge: Jede E-Mail enthielt lediglich ein Bild und eine Kalendereinladung im .ics-Format Format, wobei der Fließtext, die Links und die Dateianhänge, die von Erkennungsmodulen üblicherweise überprüft werden, weggelassen werden.

    Verschleierter Anhang: Der .ics-Anhang verstieß absichtlich gegen RFC 2445, die Spezifikation für Kalenderdateien, und seine X-Eigenschaftszeilen waren mit zufällig generierten Inhalten gefüllt, die speziell darauf ausgelegt waren, dass QR-Code-Extraktionswerkzeuge bereits in der Parsing-Phase versagen.

    Eingebetteter QR-Code: In die Kalendereinladung wurde ein QR-Code eingefügt, wodurch das interaktive Element aus dem E-Mail-Text auf das Mobilgerät des Empfängers verlagert wurde – außerhalb der Reichweite von E-Mail-Filtern und Endgerätkontrollen des Unternehmens.

    Manuelle Verifizierungsstufe: Durch das Scannen des QR-Codes wurde der Empfänger durch einen manuellen Verifizierungsschritt geleitet, bevor er das vom Angreifer kontrollierte Ziel erreichte. Dadurch wurden automatisierte Crawler vereitelt und die Ziel-URL vor Analyse-Tools verborgen.

    Dynamisches Targeting mit unvollständiger Umsetzung: Im Rahmen der Kampagne wurde versucht, die Logos der Empfängerorganisationen dynamisch in den Phishing-Köder einzufügen; dies schlug jedoch fehl, sodass das Microsoft-Logo im Bild erhalten blieb, während der Alt-Text auf die Domain des Ziels verwies – ein Hinweis auf ausgefeilte Tools mit Umsetzungslücken.

    Fehlerhafte ICS-Dateien: Umgehung von Standards zur Vermeidung der Erkennung

    Die Umgehungstechnik der Kampagne bestand darin, bewusst gegen RFC-5545 zu verstoßen, die technische Spezifikation, die festlegt, wie Kalenderdateien aufgebaut sein sollten. Die Zeilen der X-Eigenschaft des .ics-Anhangs waren mit zufällig generierten Inhalten gefüllt, die darauf abzielten, dass QR-Code-Extraktionswerkzeuge bereits in der Parsing-Phase versagen.

    The Rise4.png

    Nichteinhaltung von RFC-5545
    1. Der Inhalt erscheint vor „BEGIN:VCALENDAR“
      Die Datei beginnt mit zahlreichen „X-...“-Zeilen, bevor der Kalender tatsächlich beginnt. Dies ist gemäß RFC 5545 ungültig.
      Sicherheitstools und Parser suchen häufig zuerst nach „BEGIN:VCALENDAR“. Zusätzliche Zeilen am Anfang können verdächtige Inhalte aus einfachen Scans herausfiltern und zu Verwirrung führen: „Ist das ein Kalender?“ Prüfungen durchführen oder die eigentliche Einladung weiter unten im Anhang verstecken, damit Menschen und automatisierte Systeme darüber hinwegsehen.
    2. Fehlerhafte X-Zeilen + experimentelle Bezeichnungen
      Die Zeilen sehen aus wie Kalender-Metadaten (X-GENERATION; FUTURE:, X-ADULT; CUSTOMER:), verwenden jedoch „; WORD:“ anstelle der gültigen Syntax (;WORD=value: oder X-WORD:value).
      Warum Angreifer dies tun:
      • X-Eigenschaften sind in der RFC-Spezifikation zulässig, sodass die Datei auf den ersten Blick „technisch“ und legitim wirkt.
      • Zufällige Wortpaare (GENERATION / FUTURE, PAPER / WITHIN) ahmen reale Felder nach, ohne dabei Standardbezeichnungen zu sein; es handelt sich um Störsignale, die strenge Parser zum Absturz bringen, in toleranten Clients jedoch möglicherweise weiterhin angezeigt werden.
      • Falsch formatierte Parameter führen dazu, dass einige Sicherheitsparser die Datei nicht verarbeiten können oder sie überspringen, während manche Kalender-Apps sie möglicherweise dennoch teilweise öffnen – ein klassischer Trick des „Formatmissbrauchs“.

    Dieser Ansatz macht eine automatisierte Analyse in mehrfacher Hinsicht zunichte:

    • Parsing-Engines brechen vorzeitig ab: Sicherheitstools, die standardkonforme Dateien erwarten, stoßen auf fehlerhafte Daten und brechen die Verarbeitung ab, bevor sie den eingebetteten QR-Code erreichen
    • Die Extraktion des QR-Codes schlägt fehl: Tools, die zum Auffinden und Verarbeiten eingebetteter Bilder entwickelt wurden, können nicht funktionieren, wenn die Dateistruktur absichtlich beschädigt wurde
    • URL-abhängige Technologien können nichts analysieren: Herkömmliche Erkennungstechnologien, die darauf angewiesen sind, die Ziel-URL aufzulösen, um eine Einstufung vorzunehmen – wie beispielsweise Sandboxing, URL-Analyse und LLM-Agenten –, versagen, da die URL in einem beschädigten Anhang verborgen bleibt.
    Missbrauch von Kalendereinladungen: Eine umfassendere Bedrohungslandschaft

    Die im Mai 2026 verzeichnete „Quishing“-Kampagne mit fehlerhaften ICS-Dateien stellt zwar die jüngste Entwicklung der von Mimecast beobachteten kalenderbasierten Angriffe dar, ist jedoch Teil eines umfassenderen Phänomens des Missbrauchs von Kalendereinladungen. Angreifer nutzen die Kalenderfunktionen weiterhin in verschiedenen Angriffsvarianten aus:

    In HTML eingebettetes Phishing

    Bei einigen Angriffen werden HTML-Inhalte direkt in die .ics-Datei eingebettet Dateien, die beim Öffnen zu Phishing-Seiten weiterleiten. Die Kalendereinladung selbst dient als Übertragungsweg, wobei eingebetteter HTML-Code Formulare zum Abgreifen von Zugangsdaten anzeigt oder auf externe Phishing-Infrastrukturen weiterleitet. Dieser Ansatz umgeht die herkömmliche Überprüfung von E-Mail-Inhalten, da der schädliche Inhalt niemals im E-Mail-Text erscheint.

    The Rise5.png

    Betrugsmaschen mit Vishing-Rückrufen

    Kalendereinladungen können Telefonnummern zusammen mit dringenden Nachrichten enthalten, die darauf abzielen, Voice-Phishing-Angriffe auszulösen. In diesen Einladungen wird in der Regel auf Sicherheitsbedenken hinsichtlich des Kontos, überfällige Zahlungen oder kritische IT-Probleme hingewiesen, die eine sofortige Klärung per Telefon erfordern. Das Kalenderformat verleiht der Anfrage Glaubwürdigkeit, da Nutzer geplante Termine als seriöser empfinden als unaufgeforderte E-Mails.

    The Rise6.png

    Warum der Missbrauch von Kalendereinladungen wirksam ist

    Kalenderbasierte Angriffe nutzen mehrere grundlegende Schwachstellen in der Art und Weise aus, wie Unternehmen und Nutzer mit Terminplanungssystemen interagieren:

    Automatische Eintragung in Kalender: Die Standardeinstellungen in Google Kalender und Microsoft 365 sorgen häufig dafür, dass externe Einladungen automatisch in die Kalender der Nutzer übernommen werden, ohne dass eine ausdrückliche Zustimmung erforderlich ist. Diese Automatisierung bedeutet, dass Nutzer möglicherweise bösartigen Inhalten ausgesetzt sind, ohne sich bewusst dafür entschieden zu haben, mit diesen zu interagieren.

    Vertrauen der Nutzer in Kalenderbenachrichtigungen:Die Nutzer vertrauen Kalenderbenachrichtigungen von Natur aus als Teil ihres normalen Arbeitsablaufs. Wenn eine betrügerische Aktion neben legitimen Geschäftsterminen auftritt, schafft diese kontextbezogene Einbettung eine implizite Glaubwürdigkeit, die Angreifer ausnutzen.

    Geringere Überprüfung im Vergleich zu E-Mails: Kalendereinladungen werden weniger gründlich überprüft als normale E-Mails – sowohl durch Sicherheitstechnologien als auch durch die Nutzer selbst, die zwar darin geschult wurden, E-Mail-Links zu überprüfen, nicht jedoch den Inhalt von Kalenderterminen.

    Fortbestehen trotz Löschung der E-Mail: Selbst wenn die ursprüngliche Phishing-E-Mail erkannt und aus dem Posteingang eines Benutzers entfernt wird, kann der Kalendertermin in dessen Terminkalender bestehen bleiben, wodurch der Benutzer weiterhin bösartigen Inhalten ausgesetzt ist.

    Mimecast-Schutz

    Mimecast hat Erkennungsfunktionen implementiert, die speziell darauf ausgelegt sind, bösartige Kalendereinladungen und „Quishing“-Angriffe zu identifizieren, bei denen fehlerhafte ICS-Dateien ausgenutzt werden. Der Multi-Vector Threat Protection (MVTP) stützt sich auf eine Analyse nach den Grundprinzipien, anstatt sich bei der Phishing-Erkennung auf die endgültige Ziel-URL zu verlassen oder sich bei der Malware-Erkennung ausschließlich auf Indikatoren aus der Ausnutzungsphase zu konzentrieren. Es stellt einen kontextbezogenen Zusammenhang zwischen Signalen vor der Ausführung her – darunter Call-to-Action-URLs, Übermittlungsmuster, Weiterleitungsverhalten, Authentifizierungskontext und Attribute auf Nachrichtenebene –, um eine Entscheidung zu treffen.

    Das Threat-Research-Team beobachtet weiterhin Veränderungen bei den Techniken, die von Angreifern eingesetzt werden, um die Kalenderinfrastruktur zu missbrauchen, und hat die Erkennungsfunktionen um mehrere Merkmale aus der Kampagne vom Mai 2026 erweitert.

    Zielgruppen: Weltweit, jedoch mit Schwerpunkt auf Großbritannien, Deutschland und den USA; branchenübergreifend

    Indikatoren für eine Kompromittierung (IOCs)

    Allgemeine Themen
    • Verhaltenskodex vom März 2026
    • Handbuch zum Ethik-Schulungsprogramm
    • Strategie für Hybridmodelle in der Energiewirtschaft
    • Verfahren im Mitarbeiterhandbuch
    • Handbuch zur Bewertungspolitik
    • Ethik in der Lieferkette
    • Verfahrenshandbuch
    • Leitfaden zum Prämienprogramm für Versicherungspolicen
    • Richtlinie zum Hybridmodell
    • Richtlinie zu Sicherheit, Gesundheit und Einhaltung von Vorschriften
    • Programmübersicht
    • Ethik in der Lieferkette
    • Standards für unternehmerische Verantwortung

    Was Verteidiger daraus lernen sollten

    Phishing-Kampagnen, bei denen QR-Codes in Kalenderanhängen versteckt werden, nutzen eine grundlegende Sicherheitslücke aus: Bis ein Nutzer den Code scannt, hat sich der Angriff bereits auf ein privates Mobilgerät verlagert, auf dem E-Mail-Filter, Webschutz und Endgeräteüberwachung oft fehlen oder deutlich schwächer sind. Werden in dieser Phase Anmeldedaten gestohlen, wird die Sicherheitsinfrastruktur des Unternehmens möglicherweise nie davon erfahren, dass diese Interaktion stattgefunden hat.

    Herkömmliche Erkennungstechnologien, darunter Sandboxing, URL-Analyse und LLM-basierte Agenten, sind darauf angewiesen, die Ziel-URL aufzulösen, um eine Bewertung abzuleiten. Wenn sich diese URL hinter einem fehlerhaft formatierten Anhang, einem QR-Code und einer manuellen Verifizierungsstufe verbirgt, gibt es für diese Tools nichts zu analysieren.

    Sicherheitsverantwortliche sollten authentifizierte Kalendereinladungen mit minimalem Textinhalt und ausschließlich aus Bildern bestehenden Anhängen unabhängig vom Authentifizierungsstatus des Absenders als risikoreich einstufen. Die Analyse von Anhängen muss auch bei fehlerhaften ICS-Headern funktionieren, und die Nutzer müssen sich darüber im Klaren sein, dass das Scannen eines QR-Codes dem Anklicken eines nicht verifizierten Links gleichkommt.

    Die Verteidiger sollten zudem davon ausgehen, dass Umfang und Vielfalt der Ausweichtechniken weiter zunehmen werden. KI-Modelle ermöglichen es Angreifern, vielschichtige Umgehungsstrategien und deren Varianten in großem Umfang zu generieren; Sicherheitsmaßnahmen müssen daher auf einer Erkennung nach Grundprinzipien basieren und nicht auf dem Abgleich mit bekannten Varianten.

    Behalten Sie Ihren Vorsprung im Bereich der Bedrohungsanalyse

    Schließen Sie sich Tausenden von Sicherheitsexperten an, die sich auf unsere sorgfältig zusammengestellten Warnmeldungen, Expertenanalysen und IOCs zu Kampagnen verlassen, um sich gegen die neuesten Cyberbedrohungen zu schützen.

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates zu unseren Benachrichtigungen zu Bedrohungsinformationen angemeldet haben.

    Wir bleiben in Kontakt!

    Zurück zum Anfang