Microsoft Teams: Cyberkriminelle verbreiten Ransomware über gefälschte Werbung
Cyberkriminelle nutzen manipulierte Microsoft Teams-Anzeigen in Suchmaschinen, um Backdoor-Trojaner zu verbreiten. Microsoft sperrte über 200 gefälschte Zertifikate, doch die Bedrohung bleibt bestehen.
Cyberkriminelle nutzen gefälschte Microsoft Teams-Werbeanzeigen in Suchergebnissen, um Ransomware zu verbreiten. Diese neue Kampagne markiert eine dramatische Eskalation bei der Infiltration von Unternehmensnetzen durch raffinierte Köder.
Sicherheitsforscher haben eine großangelegte Operation identifiziert, die Nutzer dazu verleitet, schädliche Installationsprogramme herunterzuladen. Das Ziel: Datendiebstahl und Erpressung. Die seit Juni intensivierte Kampagne nutzt manipulierte Werbung und Suchmaschinenoptimierung, um ahnungslose Nutzer auf betrügerische Websites zu locken, die die offizielle Teams-Download-Seite nachahmen.
Trojaner tarnt sich als Installationsprogramm
Wer auf eine schädliche Anzeige oder ein manipuliertes Suchergebnis klickt, wird aufgefordert, eine scheinbar legitime “MSTeamsSetup.exe”-Datei herunterzuladen. Tatsächlich handelt es sich um einen Trojaner, der eine Backdoor namens “Oyster” installiert – auch bekannt als “Broomstick” oder “CleanUpLoader”.
Anzeige: Passend zum Thema Schadsoftware und gefälschte Downloads: Auch auf dem Android-Smartphone lauern ähnliche Fallen – von Fake-Apps bis Phishing-Links. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen, mit einfachen Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking & Co. Sichern Sie Ihr Gerät ohne teure Zusatz-Apps und schließen Sie unterschätzte Sicherheitslücken. Jetzt kostenloses Android-Sicherheitspaket anfordern
Diese erste Infiltration ebnet den Weg für mächtige Ransomware-Varianten wie Rhysida. Die Angreifer-Gruppe “Vanilla Tempest”, auch als “Vice Society” bekannt, ist seit mindestens 2021 aktiv und hat es vor allem auf Bildungs- und Gesundheitseinrichtungen abgesehen.
Mehrstufiger Angriff mit gefälschten Zertifikaten
Der Angriff beginnt harmlos: Nutzer suchen nach “Teams Download” in Suchmaschinen wie Bing. Die schädlichen Anzeigen der Kriminellen erscheinen oft als Topresultate und leiten zu gefälschten Domains wie “teams-install[.]run” weiter.
Nach der Installation startet ein mehrstufiger Infektionsprozess. Das Oyster-Backdoor verschafft den Angreifern dauerhaften Zugriff auf kompromittierte Systeme. Besonders perfide: Die Kriminellen nutzen betrügerisch erworbene Code-Signatur-Zertifikate, wodurch ihre Schadsoftware als vertrauenswürdig erscheint und Sicherheitsprüfungen umgeht.
Microsoft sperrt über 200 gefälschte Zertifikate
Microsoft reagierte Anfang Oktober entschlossen und sperrte mehr als 200 betrügerische Code-Signatur-Zertifikate. Die Angreifer hatten verschiedene Zertifizierungsdienste missbraucht, darunter Microsofts eigenen “Trusted Signing”-Service sowie Dienste von SSL.com, DigiCert und GlobalSign.
Die Sperrung der Zertifikate trifft die Angreifer empfindlich: Ihre Schadsoftware lässt sich nun leichter erkennen und blockieren. Microsoft hat außerdem seine Defender-Antivirenprogramme aktualisiert, um besseren Schutz vor den gefälschten Installationsprogrammen zu bieten.
Laut Cybersicherheitsfirma Expel übertrifft diese Kampagne alle bisherigen Angriffe. Während 2024 nur sieben gefälschte Zertifikate verwendet wurden, sind es seit Juni über 40 – ein Zeichen für “höheres operatives Tempo und Ressourceneinsatz” der Kriminellen.
Warnung vor neuen Angriffen
Trotz Microsofts Störungsversuchen werden die Angreifer voraussichtlich neue Zertifikate beschaffen und ihre Taktiken anpassen. Die Grundstrategie mit schädlicher Werbung für beliebte Software bleibt eine ernste Bedrohung.
Sicherheitsexperten raten dringend, Software ausschließlich von offiziellen Herstellerwebsites herunterzuladen. Statt auf Suchergebnisse zu vertrauen, sollten Nutzer direkt zur offiziellen Quelle navigieren oder gespeicherte Lesezeichen verwenden.
