Phishing-Kampagne unter dem Deckmantel von Microsoft Teams, die legitime Schulungsressourcen ausnutzt
2. März 2026
Von dem Mimecast Threat Research Team
- Kampagne zum Diebstahl von Anmeldedaten, bei der sich die Angreifer als Benachrichtigungen zu Aufgaben in Microsoft Teams ausgeben
- Nutzung des E-Mail-Versanddienstes von SendGrid und der Vorlagen für Sicherheitsschulungen von CanIPhish
- Über 9.000 beobachtete Fälle zwischen Januar und Februar 2026
- In den USA ansässige Unternehmen aus verschiedenen Branchen, insbesondere aus den Bereichen Finanzwesen, freiberufliche Dienstleistungen, Fertigung und Gesundheitswesen
- Diebstahl von Zugangsdaten durch gefälschte Aufgabenbenachrichtigungen
Kampagnenübersicht
Das Mimecast Threat Research Team hat eine Phishing-Kampagne zur Erlangung von Zugangsdaten aufgedeckt, bei der legitime Schulungsunterlagen zur Sensibilisierung für Sicherheitsfragen missbraucht werden. Angreifer haben öffentlich zugängliche Vorlagen für Phishing-Simulationen von CanIPhish, einer seriösen Plattform für Sicherheitsschulungen, abgeändert, um überzeugende Köder im Microsoft-Teams-Design zu erstellen, die sich an geschäftliche Nutzer richten.
Angriffskette
Die Kampagne verfolgt einen mehrstufigen Ansatz, der darauf abzielt, das Vertrauen der Nutzer in vertraute Tools der Geschäftskommunikation auszunutzen:
1. Erstzustellung: E-Mails werden über die SendGrid-Infrastruktur unter Verwendung kompromittierter Konten versendet
2. Social-Engineering-Köder: Die Empfänger erhalten eine scheinbar von Microsoft Teams stammende Benachrichtigung über eine zugewiesene Aufgabe zur Überprüfung eines „ "-Fälligkeitsberichts“ (" ) im Zusammenhang mit Verbindlichkeiten oder Finanzunterlagen.
3. Missbrauch von Vorlagen: Angreifer haben HTML-Vorlagen aus den öffentlich zugänglichen Phishing-Simulationsbeispielen von CanIPhish bezogen. Diese Vorlagen, die ursprünglich für Sicherheitsschulungen konzipiert wurden, wurden wie folgt angepasst:
- Ersetzen Sie die Simulations-URLs durch die Domain, die zum Ausspähen von Zugangsdaten dient
- Passen Sie Firmennamen und Empfängerdaten für die jeweiligen Organisationen an
Die angepassten Vorlagen enthalten weiterhin Verweise auf den AWS-S3-Bucket von CanIPhish für Bilddateien (https://caniphish.s3.ap-southeast-2.amazonaws.com/), wodurch der Anschein der Legitimität weiter verstärkt wird.
" 4. Erfassung von Anmeldedaten: Benutzer , die auf die Schaltflächen „ "“ (In Teams öffnen), „" “ (In Teams öffnen) oder „ "“ (Im Browser öffnen) klicken, werden auf die unten angegebene Seite weitergeleitet, wo sie auf einen weiteren Link klicken müssen, um die Datei zu öffnen.
5.Captcha-Seite von „ “: Sobald der Nutzer auf den Link klickt, wird er auf eine Captcha-Seite weitergeleitet, auf der er bestätigen muss, dass er ein Mensch ist. Sobald das Captcha gelöst ist, wird den Nutzern eine Microsoft-Anmeldeseite angezeigt, auf der der Angreifer die Anmeldedaten abgreift.
Zielgruppen und Regionen
Geografische Verteilung
- Hauptziel: Vereinigte Staaten (über 95% e der beobachteten Kampagnen)
- Sekundäre Angriffsziele: Begrenzte Anzahl von Vorfällen, die auf das Vereinigte Königreich, Deutschland, Kanada und Australien abzielen
Indikatoren für eine Kompromittierung (IOCs)
SendGrid-Infrastruktur:
- u58401087.ct.sendgrid.net (Tracking-Domain)
Schädliche URLs
- mstexcelauthcopilot[.]powerappsportals[.]com
Häufige Betreffzeilen
- [Firmenname]: CFO / Fälligkeitsbericht (Jan. – Feb. 2026)
- [Firmenname]: AR / Fälligkeitsbericht (Jan. – Feb. 2026)
- Bericht von [Firmenname] / Fälligkeitsübersicht (Januar 2025)
- [Name des Unternehmens] Finanzdienstleistungsbericht / Fälligkeitsübersicht (Januar 2025)
Vorlage: Die Betreffzeilen werden individuell angepasst, wobei der Name der Zielorganisation gefolgt von
Mimecast-Schutz
Mimecast hat mehrere Erkennungsstufen implementiert, um diese Kampagne zu identifizieren und zu blockieren. Unser Threat-Intelligence-Team beobachtet diese Kampagne weiterhin und wird die Erkennungsregeln aktualisieren, sobald die Angreifer ihre Taktiken ändern.
Empfehlungen
Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen
- Informieren Sie Ihre Mitarbeiter über die spezifischen Merkmale dieser Kampagne, einschließlich des Köders in Form eines Berichts zum Thema „Alterung“ und der Identitätsfälschung in Microsoft Teams
- Schulen Sie Ihre Mitarbeiter darin, unerwartete Aufgabenzuweisungen über separate Kommunikationskanäle zu überprüfen, bevor sie auf Links klicken
- Betonen Sie die Bedeutung der Authentifizierungsüberprüfung: Benutzer sollten vor der Eingabe ihrer Anmeldedaten stets die Adressleiste überprüfen – legitime Microsoft-Anmeldeseiten verwenden die Domänen „login.microsoftonline.com“ oder „login.microsoft.com“, nicht Varianten von „powerappsportals.com“.
Proaktive Bedrohungssuche
- Durchsuchen Sie die E-Mail-Empfangsprotokolle nach Nachrichten von Sendgrid und den aufgeführten Betreffzeilen
Weitere Hintergründe
Diese Kampagne spiegelt einen allgemeinen Trend wider, bei dem Angreifer legitime Dienste – wie E-Mail-Versandplattformen und öffentlich zugängliche Ressourcen für Sicherheitsschulungen – missbrauchen, um die Glaubwürdigkeit ihrer Angriffe zu erhöhen. Eine solche Ausnutzung macht deutlich, wie wichtig es ist, Schulungsmaterialien und vertrauenswürdige Plattformen davor zu schützen, als Waffe missbraucht zu werden.
Nach der Identifizierung dieser Bedrohung arbeitete Mimecast eng mit CanIPhish zusammen, um Schutzmaßnahmen zu implementieren, die das Risiko eines Missbrauchs ihrer Ressourcen verringern. Damit wurde deutlich, wie wichtig Zusammenarbeit und Informationsaustausch innerhalb der Sicherheitsgemeinschaft sind, um neu auftretenden Bedrohungen wirksam entgegenzuwirken.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!