Phishing-Kampagne zielt auf Anmeldedaten für Microsoft 365 neuer Mitarbeiter ab

5. November 2025

Von Rikesh Vekaria, Hiwot Mendahun und dem Mimecast Threat Research Team

Abonnieren Sie unseren Newsletter, um Benachrichtigungen zu Bedrohungsinformationen zu erhalten

Kampagnenübersicht

Das Mimecast Threat Research-Team hat eine aktive Kampagne zum Diebstahl von Anmeldedaten aufgedeckt, bei der Köder mit Bezug zum Personalwesen – darunter eine Benachrichtigung zur Einarbeitung neuer Mitarbeiter – eingesetzt werden, um Anmeldedaten für Microsoft 365 zu stehlen. Bei dieser Vorgehensweise werden unternehmensspezifische Köder eingesetzt, die auf fiktive neue Mitarbeiter verweisen, die in die Zielunternehmen eintreten sollen, wodurch ein Eindruck von Legitimität erweckt wird, der die Nutzer zur Interaktion animiert. Die Kampagne folgt einem mehrstufigen Angriffsablauf, der darauf ausgelegt ist, automatisierte Erkennungssysteme zu umgehen. Die Empfänger erhalten E-Mails, in denen die Einstellung neuer Mitarbeiter angekündigt wird; häufig wird dabei der Name des Zielunternehmens in die Betreffzeile aufgenommen, um die Glaubwürdigkeit zu erhöhen.

Wenn Nutzer auf die eingebetteten Links klicken, werden sie auf überzeugend gestaltete Verifizierungsseiten weitergeleitet, auf denen Fotos vermeintlicher Neumitglieder sowie CAPTCHA-Aufgaben angezeigt werden, die zwar seriös wirken sollen, aber gleichzeitig verhindern, dass Sicherheitsscanner auf die eigentliche Nutzlast zugreifen können.

Nach Abschluss des vorgetäuschten Verifizierungsprozesses werden die Opfer auf eine Seite weitergeleitet, auf der Microsoft-Anmeldedaten abgegriffen werden. Diese Infrastruktur wurde mit „FlowerStorm“ in Verbindung gebracht, einer „Phishing-as-a-Service“-Plattform, die „Adversary-in-the-Middle“-Angriffe (AiTM) einsetzt, die speziell darauf ausgelegt sind, Zugangsdaten zu erbeuten und Schutzmaßnahmen der Multi-Faktor-Authentifizierung zu umgehen.

Diese Technik ermöglicht es Angreifern, Authentifizierungstoken in Echtzeit abzufangen und sich so Zugang zu geschützten Konten zu verschaffen, selbst wenn die mehrstufige Authentifizierung (MFA) aktiviert ist.

Mimecast-Schutz

Mimecast hat erweiterte Erkennungsfunktionen implementiert, die speziell auf die Techniken dieser Kampagne ausgerichtet sind, darunter die Analyse gefälschter CAPTCHA-Implementierungen.

Indikatoren für eine Kompromittierung (IOCs)

Häufige Betreffzeilen:

• Willkommen, neuer Mitarbeiter / [Name]
• [Firmenname] – Aktuelles: Neuer Mitarbeiter / [Name]

Infrastruktur zum Sammeln von Anmeldedaten:

• copilotnotewelcomedashboardteamsmst365[.]faraway[.]com[.]de
• https://ctrlcopilotappsmst365[.]gleamed[.]com[.]de
• https://onedriveappsdirectmst365[.]gleamed[.]com[.]de
• http://mailboxselfservicecenter[.]gleamed[.]com[.]de

Ziele

Mehrere Branchen scheinen betroffen zu sein, wobei Kampagnen zeigen, dass es möglich ist, Köder mit bestimmten Firmennamen individuell anzupassen.

Empfehlungen

Sicherheitsbewusstsein der Benutzer:

• Weisen Sie die Nutzer darauf hin, Ankündigungen zu neuen Mitarbeitern über offizielle Personalkanäle zu überprüfen, anstatt auf E-Mail-Links zu klicken
• Schulen Sie Ihre Mitarbeiter hinsichtlich ausgefeilter CAPTCHA-basierter Phishing-Techniken und der Bedeutung der Überprüfung der Legitimität von Bestätigungsseiten
• Führen Sie Phishing-Simulationen durch, bei denen neue Social-Engineering-Szenarien für Mitarbeiter einbezogen werden

Threat Hunting:

• Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen