Gefälschte OAuth-Apps: Neue Angriffe auf Microsoft 365
Mit täuschend echten Microsoft-OAuth-Apps und professionellen Phishing-Kits wie Tycoon gelingt es Angreifern, gezielt Microsoft-365-Konten zu übernehmen. Selbst Multi-Faktor-Authentifizierung schützt nicht zuverlässig – über 900 Unternehmen sind bereits betroffen.
Cyberkriminelle entwickeln immer ausgeklügeltere Methoden, um Zugriff auf Microsoft-365-Konten zu erhalten. Eine neue Angriffswelle setzt auf gefälschte OAuth-Anwendungen, die sich als legitime Unternehmenslösungen ausgeben – etwa von RingCentral, Adobe, DocuSign oder SharePoint. Ziel ist es, nichtsahnende Unternehmensmitarbeiter zur Freigabe von Zugriffsrechten zu verleiten.
Entdeckt wurde die Kampagne von der Sicherheitsfirma Proofpoint, die bereits mehr als 50 unterschiedliche gefälschte Anwendungen identifiziert hat. Die Angriffe beginnen typischerweise mit einer Phishing-E-Mail, die scheinbar von einem Geschäftspartner stammt und etwa eine Angebotsanfrage oder Vertragsunterlagen enthält. Der enthaltene Link führt zu einer Microsoft-OAuth-Seite, die eine Anwendung namens „iLSMART“ präsentiert und um Zugriffsrechte bittet.
Täuschend echt – von Anfang bis Ende
Besonders perfide ist die Masche deshalb, weil iLSMART ein real existierender Marktplatz für Luftfahrt-, Marine- und Rüstungsindustrie ist. Selbst wer die Zugriffsanfrage ablehnt, wird dennoch zur nächsten Phase weitergeleitet: Nach einem CAPTCHA folgt eine gefälschte Microsoft-Anmeldeseite, die mithilfe von Adversary-in-the-Middle-Technik (AitM) Zugriff auf Zugangsdaten und Authentifizierungscodes erhält.
Zum Einsatz kommen dabei Plattformen wie „Tycoon“ oder „ODx“, die als Phishing-as-a-Service vermarktet werden. Sie ermöglichen es auch weniger technisch versierten Angreifern, überzeugende Phishing-Kampagnen samt Multi-Faktor-Abgriff durchzuführen.
Angriffsmuster mit System
Die Angreifer setzen bei ihren E-Mails auf verschiedene Versandmethoden, unter anderem über Twilio SendGrid. So wurden in einer weiteren Welle Adobe-Anwendungen gefälscht, um Benutzer auf Phishing-Seiten umzuleiten oder sie zu dazu zu bringen, ungewollt Autorisierungen zu erteilen.
Laut Proofpoint ist die iLSMART-Kampagne nur ein Bruchteil des aktuellen Angriffsvolumens. Allein im Jahr 2025 wurden bislang beinahe 3.000 Benutzerkonten in mehr als 900 Microsoft-365-Umgebungen Ziel von Tycoon-basierten Angriffen. Die Zahl dürfte weiter steigen, denn Identitätsdiebstahl über AitM-Technik entwickelt sich zunehmend zum Standardwerkzeug krimineller Gruppen.
Microsoft reagiert – spät, aber konsequent
Microsoft hat angekündigt, im Laufe des August 2025 wichtige Änderungen an den Sicherheitsvorgaben umzusetzen: Künftig werden alte, unsichere Anmeldeverfahren automatisch blockiert. Außerdem dürfen externe Anwendungen – also Programme von Drittanbietern – nur noch dann auf Unternehmensdaten zugreifen, wenn ein Administrator vorher ausdrücklich zustimmt. So soll verhindert werden, dass Angreifer über gefälschte Apps Zugriff auf Konten bekommen.
Außerdem will Microsoft auch die Sicherheit von Office-Dokumenten verbessern: Ab Oktober 2025 bis Juli 2026 werden in Excel automatisch alle Verknüpfungen zu unsicheren oder gesperrten Dateitypen deaktiviert. So soll verhindert werden, dass über solche Verbindungen Schadsoftware eingeschleust wird – zum Beispiel durch manipulierte Excel-Dateien mit gefährlichen Links.
Malware, PDFs und Fernzugriff
Parallel dazu beobachten Sicherheitsfirmen wie Seqrite und WithSecure weitere Aktivitäten im Umfeld gezielter Kompromittierungen. So wurde mit VIP Keylogger eine .NET-basierte Schadsoftware über Rechnungs-PDFs verbreitet, die mit einem AutoIt-Injektor sensible Daten abgreift.
Gleichzeitig sind PDF-Dokumente mit versteckten Installationslinks für Fernwartungssoftware wie FleetDeck RMM im Umlauf. Diese PDFs tarnen sich als seriöse Unterlagen wie Mietverträge, Rechnungen oder Exposés und zielen auf Unternehmen in Frankreich, Belgien, Luxemburg und Deutschland ab.
RMM als Einfallstor
Die Angreifer nutzen zunehmend Remote Monitoring und Management Tools (RMM), um Zugang zu Zielsystemen zu erhalten. Neben FleetDeck kommen Werkzeuge wie Atera, Action1, Bluetrait, Syncro oder ScreenConnect zum Einsatz. Zwar wurden bislang keine direkten Folgeangriffe beobachtet, jedoch deuten alle Spuren darauf hin, dass diese Werkzeuge als erste Stufe für spätere Aktivitäten wie Ransomware-Angriffe dienen sollen.
Lektionen aus den neuen Angriffswellen
Die Angreifer kombinieren täuschend echte OAuth-Apps, Adversary-in-the-Middle-Techniken und professionell betriebene Phishing-Plattformen zu einem gefährlichen Arsenal. Unternehmen sollten nicht nur technische Schutzmaßnahmen verschärfen, sondern auch Mitarbeiter für die neuen Angriffsformen sensibilisieren – denn auch eine scheinbar harmlose Zugriffsanfrage kann der erste Schritt zum vollständigen Identitätsdiebstahl sein.