Der Vorfall
Anfang 2025 machten Sicherheitsforscher eine beunruhigende Entdeckung: Eine neue Phishing-Plattform namens RaccoonO365 hatte sich als professioneller Dienstleister im Cybercrime-Ökosystem etabliert. Ihr Spezialgebiet: das Umgehen der Multi-Faktor-Authentifizierung (MFA) von Microsoft 365 – jener Sicherheitsmaßnahme, die eigentlich als der Goldstandard für Kontoschutz galt.
RaccoonO365 operierte als Phishing-as-a-Service (PhaaS). Kriminelle konnten die Plattform mieten, um täuschend echte Microsoft-365-Loginseiten zu erstellen, die nicht nur Passwörter abfingen, sondern auch die MFA-Verifizierung in Echtzeit durchreichten – ein sogenannter Adversary-in-the-Middle-Angriff (AiTM). Das Ergebnis: Die Angreifer erhielten gültige Session-Tokens, mit denen sie ohne erneute Authentifizierung auf die Microsoft-365-Konten der Opfer zugreifen konnten.
Deutsche Unternehmen gehörten zu den bevorzugten Zielen. Die Phishing-E-Mails waren auf Deutsch verfasst, verwendeten lokale Absenderadressen und imitierten bekannte deutsche Unternehmen oder Behörden. Betreffzeilen wie „Ihre Rechnung", „Vertragsverlängerung" oder „Dringende Sicherheitsmitteilung" lockten Mitarbeiter auf die gefälschten Loginseiten.
Die Auswirkungen waren gravierend: Kompromittierte Microsoft-365-Konten gaben Zugang zu E-Mails, SharePoint-Dokumenten, Teams-Chats und OneDrive-Dateien. In vielen Fällen nutzten die Angreifer die gekaperten Konten, um weitere Phishing-E-Mails an Kontakte und Geschäftspartner der Opfer zu versenden – was das Vertrauen in die Absender ausnutzte und die Kampagne exponentiell verbreitete.
Mehrere deutsche Unternehmen meldeten im Zuge der RaccoonO365-Kampagne Datenschutzvorfälle an die zuständigen Aufsichtsbehörden. Die Dunkelziffer dürfte um ein Vielfaches höher liegen.
Wie der Angriff funktionierte
RaccoonO365 nutzte eine ausgeklügelte mehrstufige Technik, die weit über einfaches Phishing hinausging.
Stufe 1 – Die Phishing-E-Mail: Der Mitarbeiter erhielt eine professionell gestaltete E-Mail. Sie enthielt einen Link oder einen HTML-Anhang, der eine gefälschte Microsoft-365-Loginseite öffnete. Die URL sah dem Original täuschend ähnlich – oft nur durch einen kaum sichtbaren Buchstabendreher zu unterscheiden. In manchen Varianten wurde der schädliche Link über QR-Codes in PDF-Anhängen verteilt, um URL-Scanner in E-Mail-Sicherheitslösungen zu umgehen.
Stufe 2 – Der Adversary-in-the-Middle-Proxy: Die gefälschte Loginseite war kein einfaches Formular, sondern ein Reverse-Proxy. Wenn der Nutzer seine Zugangsdaten eingab, leitete RaccoonO365 sie in Echtzeit an den echten Microsoft-365-Server weiter. Microsoft forderte die MFA-Verifizierung an – und RaccoonO365 zeigte dem Nutzer die entsprechende Abfrage. Der Nutzer bestätigte arglos auf seinem Handy. Der echte Server stellte ein Session-Token aus – und RaccoonO365 fing es ab.
Stufe 3 – Installation eines Infostealers: In vielen Fällen blieb es nicht beim Token-Diebstahl. Die Phishing-Seite oder der HTML-Anhang lud zusätzlich einen Infostealer auf den Rechner des Opfers herunter. Dieser Infostealer – in einigen Kampagnen wurde die Malware-Familie „Mamba 2FA" oder angepasste Varianten von Lumma Stealer verwendet – sammelte Zugangsdaten aus dem Browser-Passwortmanager, Cookies, gespeicherte Sessions und weitere sensible Daten. Der Stealer richtete sich auf der Systempartition ein und übermittelte die gesammelten Daten an die Angreifer.
Stufe 4 – Übernahme und Missbrauch des Kontos: Mit dem gestohlenen Session-Token loggten sich die Angreifer im Microsoft-365-Konto des Opfers ein. Sie lasen E-Mails, kopierten Dokumente aus SharePoint und OneDrive und richteten Weiterleitungsregeln ein, um auch zukünftige E-Mails mitzulesen. Dann nutzten sie das kompromittierte Konto, um weitere Phishing-E-Mails an die Kontakte des Opfers zu senden.
Der auf dem Arbeitsplatzrechner installierte Infostealer (Stufe 3) war dabei der entscheidende Multiplikator: Er lieferte den Angreifern zusätzliche Zugangsdaten, die weit über das einzelne Microsoft-365-Konto hinausgingen. Und genau dieser Infostealer hätte einen Neustart mit Deep Freeze nicht überlebt.
Warum Virenscanner versagten
RaccoonO365 war darauf ausgelegt, sämtliche Sicherheitsmaßnahmen zu umgehen – und tat dies mit erschreckender Effektivität.
Die Phishing-E-Mails verwendeten Techniken, die E-Mail-Sicherheitslösungen austricksten. QR-Codes in PDF-Anhängen können von URL-Scannern nicht gelesen werden. HTML-Anhänge mit verschleiertem JavaScript umgehen Sandbox-Analysen. Und die Phishing-URLs wechselten ständig – sobald eine Domain auf einer Blockliste landete, waren bereits zehn neue aktiv.
Der AiTM-Proxy selbst war für den Virenscanner unsichtbar. Aus Sicht des Rechners öffnete der Nutzer lediglich eine Website im Browser. Es wurde kein Schadcode heruntergeladen, keine Datei geschrieben, kein verdächtiger Prozess gestartet – zumindest in der reinen Phishing-Phase.
Der zusätzlich installierte Infostealer verwendete aktuelle Verschleierungstechniken. Da RaccoonO365 als Dienstleistung betrieben wurde, sorgten die Betreiber dafür, dass die verteilte Malware stets aktuell und gegen gängige Virenscanner immun war. Es gehörte zum Serviceversprechen.
Selbst MFA – die vermeintlich sichere Zusatzschicht – versagte hier konstruktionsbedingt. AiTM-Angriffe hebeln MFA aus, weil sie die Authentifizierung in Echtzeit durchreichen. Der Nutzer authentifiziert sich korrekt – nur eben gegenüber dem falschen Server.
So hätte Deep Freeze geschützt
RaccoonO365 zeigt, dass selbst fortschrittliche Sicherheitsmaßnahmen wie MFA umgangen werden können. Deep Freeze bietet eine zusätzliche Schutzschicht, die unabhängig von der Raffinesse des Angriffs funktioniert.
Der Infostealer überlebt den Neustart nicht. Wenn die Phishing-Kampagne zusätzlich einen Infostealer auf dem Rechner installiert, wird dieser beim nächsten Neustart durch Deep Freeze gelöscht. Die im Browser gespeicherten Zugangsdaten, die der Stealer noch nicht übermittelt hat, bleiben geschützt. Neue Zugangsdaten, die der Nutzer nach dem Angriff eingibt, werden nicht mehr abgefangen.
Gestohlene Cookies und Sessions werden ungültig. Der Infostealer sammelt Browser-Cookies und Session-Tokens von der Systempartition. Deep Freeze setzt den Browser bei jedem Neustart auf den eingefrorenen Zustand zurück. Die seit dem letzten Einfrieren gespeicherten Cookies – und damit potenzielle Session-Tokens – werden gelöscht.
Weiterleitungsregeln im Browser werden zurückgesetzt. Manche Infostealer modifizieren Browser-Einstellungen oder installieren bösartige Browser-Extensions. Deep Freeze macht all das beim nächsten Neustart rückgängig.
Die Angriffskette wird verkürzt. Auch wenn Deep Freeze den AiTM-Angriff auf der Webseite selbst nicht verhindern kann – das Session-Token wird im Browser gestohlen, nicht auf der Systempartition – so eliminiert es doch den Infostealer, der den Schaden massiv vergrößert. Ohne den Stealer beschränkt sich der Angriff auf ein einzelnes Session-Token statt auf sämtliche im Browser gespeicherten Zugangsdaten.
Für Unternehmen bedeutet das: Deep Freeze reduziert den Schaden eines erfolgreichen Phishing-Angriffs erheblich. Statt einem vollständig kompromittierten Arbeitsplatz mit hunderten gestohlenen Zugangsdaten bleibt der Schaden auf das einzelne, während der Sitzung aktive Konto begrenzt.
Die Lehre
- MFA ist nicht unknackbar. AiTM-Angriffe wie RaccoonO365 beweisen, dass Multi-Faktor-Authentifizierung allein nicht ausreicht. Deep Freeze bietet eine zusätzliche Verteidigungslinie.
- Phishing-as-a-Service senkt die Einstiegshürde. Jeder Kriminelle kann RaccoonO365 mieten und sofort mit dem Angriff beginnen. Die Verteidigung muss ebenso einfach sein – und Deep Freeze erfordert lediglich einen Neustart.
- Infostealer sind der eigentliche Schaden-Multiplikator. Das gestohlene Session-Token betrifft ein Konto. Der Infostealer auf der Systempartition betrifft alle Konten. Deep Freeze eliminiert den Multiplikator.
- Browser-basierte Angriffe hinterlassen Spuren auf der Systempartition. Cookies, Extensions, gespeicherte Passwörter – alles liegt auf der Systempartition und ist für Infostealer zugänglich. Deep Freeze setzt den Browser bei jedem Neustart auf den sicheren Ausgangszustand zurück.
- Deutsche Unternehmen sind im Visier. RaccoonO365 zielte gezielt auf den deutschen Markt. Die deutschsprachigen Phishing-E-Mails zeigen: Es gibt keine Sprachbarriere mehr für Cyberkriminelle. Dein Schutz muss sprachunabhängig funktionieren – wie Deep Freeze.