Microsoft sagte, es habe eine weitverbreitete Phishing-Kampagne mit dem Namen Storm-0900 entdeckt und geblockt, die weihnachtlich gestaltete Köder nutzte, um Opfer dazu zu bringen, bösartige Skripte auszuführen, die zur Remote-Access-Malware XWorm führten. Sicherheitsberichte hoben das Ausmaß der Kampagne und die mehrstufigen Social‑Engineering-Techniken hervor.

Die Sicherheitsteams von Microsoft meldeten die Erkennung und weit verbreitete Blockierung einer groß angelegten Phishing-Operation mit der Bezeichnung Storm-0900, die zeitlich passende, an Feiertage angelehnte Köder wie gefälschte Parktickets und fingierte medizinische Testergebnisse verwendete, um Ziele zur Ausführung bösartiger Skripte zu nötigen. Die Angreifer setzten auf mehrstufige Social-Engineering-Techniken, darunter gefälschte Verifizierungsseiten, Schieberegler-CAPTCHAs und inszenierte Aufforderungen, die Nutzer dazu brachten, Makros zu aktivieren oder Payloads auszuführen. Die Kampagne zielte darauf ab, modularen XWorm-Malware einzusetzen, die Fernzugriff, Ernte von Zugangsdaten und seitliche Bewegung ermöglicht und so persistenten Zugriff sowie Datenexfiltration gestattet. Microsoft und unabhängige Sicherheitsstellen stellten die Nutzung automatisierter Verbreitungstechniken in Kombination mit menschlich gesteuertem Follow-up fest, um die Erfolgsraten zu erhöhen, und hoben das hohe Volumen der Kampagne während der Hochsaison hervor. Empfohlene Gegenmaßnahmen umfassen das Durchsetzen von Endpunktschutz, das Deaktivieren der Makroausführung standardmäßig, das Anwenden verfügbarer Patches, die Nutzung von Mehrfaktor-Authentifizierung und Schulungen für Nutzer, unerwartete Aufforderungen und Anhänge zu überprüfen. Der Vorfall unterstreicht die anhaltende Weiterentwicklung des Phishings, bei dem Social-Engineering-Finesse und Automatisierung zusammenkommen, um wirkungsvolle Feiertagsbetrügereien zu erzeugen.