Eine Ransomware-Bande hat gefälschte MS Teams-Installationsprogramme verwendet, um Nutzer anzugreifen.Durch die zunehmende Verbreitung von Remote-Work geraten Collaboration-Tools immer wieder in das Visier von Cyberkriminellen. Microsoft entdeckte vor kurzem eine Angriffskampagne der Ransomware-Bande Vanilla Tempest, die auf gefälschten Teams-Installationsprogrammen basiert. Die Angreifer verwendeten dazu imitierte MSTeamsSetup.exe-Dateien, die auf bösartigen Domains gehostet wurden. Ziel war es, ahnungslose Teams-Anwender auf eine gefakte Microsoft-Seite zu locken. Durch einen Klick auf das Teams-Setup wurde ein Loader bereitgestellt, der wiederum eine betrügerisch signierte Oyster-Backdoor bereitstellte. Auf diese Weise sollte die Erpressungssoftware Rhysida ins Spiel gebracht werden.Nach eigenen Angaben hat Microsoft die Kampagne erstmals Ende September 2025 erkannt, als seine Telemetriedaten eine missbräuchliche Nutzung vertrauenswürdiger Signaturinfrastrukturen aufzeigten. Demnach hatten sich die Angreifer legitime Signaturen durch kompromittierte Signaturdienste verschafft. Zu den betroffenen Zertifizierungsstellen gehörten SSL.com, DigiCert und GlobalSign.
Gegenmaßnahmen: Der Softwarekonzern hat kürzlich mehr als 200 betrügerische Code-Signaturzertifikate widerrufen, um die Verbreitung der Malware zu verhindern. Darüber hinaus weist Microsoft darauf hin, dass das vollständig aktivierte Antivirenprogramm Defender Antivirus diese Bedrohung blockiere. Zusätzlich dazu biete Microsoft Defender for Endpoint weitere Anleitungen zur Abwehr und Untersuchung dieses Angriffs.
First seen on csoonline.com
Jump to article: www.csoonline.com/article/4077862/microsoft-stoppt-ransomware-angriffe-auf-teams-nutzer.html
