srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?quality=50&strip=all 4500w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/10/shutterstock_1719459637.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Eine Ransomware-Bande hat gefälschte MS Teams-Installationsprogramme verwendet, um Nutzer anzugreifen.
Ink Drop – shutterstock.com
Durch die zunehmende Verbreitung von Remote-Work geraten Collaboration-Tools immer wieder in das Visier von Cyberkriminellen. Microsoft entdeckte vor kurzem eine Angriffskampagne der Ransomware-Bande Vanilla Tempest, die auf gefälschten Teams-Installationsprogrammen basiert.
So läuft der Angriff ab
Die Angreifer verwendeten dazu imitierte MSTeamsSetup.exe-Dateien, die auf bösartigen Domains gehostet wurden. Ziel war es, ahnungslose Teams-Anwender auf eine gefakte Microsoft-Seite zu locken. Durch einen Klick auf das Teams-Setup wurde ein Loader bereitgestellt, der wiederum eine betrügerisch signierte Oyster-Backdoor bereitstellte. Auf diese Weise sollte die Erpressungssoftware Rhysida ins Spiel gebracht werden.
Nach eigenen Angaben hat Microsoft die Kampagne erstmals Ende September 2025 erkannt, als seine Telemetriedaten eine missbräuchliche Nutzung vertrauenswürdiger Signaturinfrastrukturen aufzeigten. Demnach hatten sich die Angreifer legitime Signaturen durch kompromittierte Signaturdienste verschafft. Zu den betroffenen Zertifizierungsstellen gehörten SSL.com, DigiCert und GlobalSign.
Gegenmaßnahmen
Der Softwarekonzern hat kürzlich mehr als 200 betrügerische Code-Signaturzertifikate widerrufen, um die Verbreitung der Malware zu verhindern. Darüber hinaus weist Microsoft darauf hin, dass das vollständig aktivierte Antivirenprogramm Defender Antivirus diese Bedrohung blockiere. Zusätzlich dazu biete Microsoft Defender for Endpoint weitere Anleitungen zur Abwehr und Untersuchung dieses Angriffs.
No Responses