Microsoft hat jetzt Details einer Phishing-Kampagne analysiert, die versucht, Passwörter für Microsoft 365 zu stehlen.

Dabei nutzen die Hacker ein Phishing-Kit, das die WorkMail-Domäne AwsApps.com dafür benutzt, Emails mit Links zu Phishing-Seiten zu verschicken, welche die Anmeldeseite von Microsoft 365 imitieren.

Ein solches „Phishing-Kit“ besteht aus diversen Programmen oder Diensten, die Phishing-Angriffe erleichtern sollen. Im analysierten Fall wurde das Kit von Microsoft nach einem darin verwendeten Text „ZooToday“ genannt.

Man nennt es auch „Franken-Phish“, weil es aus verschiedenen Elementen besteht, von denen einige entweder über öffentlich zugängliche Betrugsverkäufer angeboten oder von anderen Kit-Verkäufern erneut verwendet und dafür neu verpackt wurden.

Die Angreifer erstellten dabei im großen Stil bösartige AWS WorkMail-Konten, die aber statt echter nur zufällig erzeugte Domänennamen  benutzen. Microsoft schließt daraus, dass es sich bei ZooToday nur um ein „grobes“ Phishing-Produkt handelt, das möglicherweise mit einem recht kleinen Budget erstellt wurde, aber dennoch groß genug ist, um ins Auge zu fallen.

Die kriminellen Hintermänner der Kampagnen sind aber nicht nur scharf auf Zugangsdaten zu Microsoft-365-Konten, denn bei mehreren Kampagnen im August wurden Fax- und Scanner-Benachrichtigungen der Marke Xerox verwendet wurden, um damit Mitarbeiter dazu zu verleiten, ihre Anmeldedaten preiszugeben.