Forscher von Push haben eine neuartige Phishing-Methode entdeckt, bei der Angreifer Active Directory Federation Services (ADFS) einsetzen, um Opfer über legitime office.com-Links auf gefälschte Microsoft-Anmeldeseiten umzuleiten.
Die Kampagne kombiniert mehrere aktuelle Detection-Evasion-Techniken:
- Malvertising: Opfer gelangten über Google Ads mit Tippfehler-Suchanfragen wie „Office 265“ auf die Phishing-Seite.
- ADFS-Umleitungen: Durch das Einrichten eigener Microsoft-Tenants mit ADFS-Integration können Angreifer Microsoft selbst dazu bringen, Nutzer an bösartige Login-Seiten weiterzuleiten.
- Täuschungsdomänen: Fake-Seiten wie bluegraintours[.]com dienen als unauffällige Zwischenstationen, um Sicherheitsfilter zu umgehen.
Die Phishing-Seiten selbst erscheinen als klassische Reverse-Proxy-Klone von Microsoft-Loginseiten, die auch Multi-Faktor-Authentifizierung umgehen können.
Risiken und Takeaways
- Der Angriff gleicht einer Open-Redirect-Schwachstelle auf Outlook.com und erschwert URL-basierte Erkennung erheblich.
- Jeder mit einem Microsoft-Tenant und ADFS-Einrichtung könnte ähnliche Angriffe durchführen.
- Malvertising wird zunehmend genutzt, um E-Mail-Schutzmechanismen zu umgehen.
Empfehlungen
- Proxy-Logs auf verdächtige ADFS-Redirects überwachen.
- Google Ads-Parameter in Kombination mit office.com-Weiterleitungen genauer prüfen.
- Ad-Blocker unternehmensweit einsetzen, um Malvertising als Angriffsvektor zu reduzieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: