Neue Ransomware-Kampagne tarnt sich als Microsoft Teams Download

Home Neue Ransomware-Kampagne tarnt sich als Microsoft Teams Download

Cyberkriminelle nutzen gefälschte Anzeigen in Suchmaschinen – Rhysida-Gruppe verteilt Malware über Microsoft Teams Suchanfragen

In den letzten Wochen ist eine neue Welle von Ransomware-Angriffen beobachtet worden, die gezielt Menschen ins Visier nimmt, die im Internet nach Microsoft Teams suchen.
Hinter der Kampagne steckt die bekannte Hackergruppe Rhysida, die bereits durch mehrere Angriffe auf Unternehmen und Organisationen aufgefallen ist.

So läuft der Angriff ab

Die Täter nutzen Suchmaschinenwerbung, um ihre gefälschten Webseiten möglichst weit oben in den Suchergebnissen zu platzieren, insbesondere bei Bing.
Sucht man dort nach „Microsoft Teams Download“, erscheint eine vermeintlich legitime Anzeige, die auf eine Seite führt, die täuschend echt aussieht.
Logo, Design, Layout – alles entspricht dem Original der offiziellen Microsoft-Seite.

Doch statt der echten Installationsdatei wird über diese gefälschte Seite ein Schadprogramm namens OysterLoader heruntergeladen.

Was ist OysterLoader

OysterLoader ist ein gefährlicher Trojaner, der von den Angreifern genutzt wird, um den infizierten Computer zu übernehmen.
Einmal installiert, ermöglicht die Malware

  • Vollständigen Zugriff auf das System
  • Nachladen weiterer Schadsoftware, beispielsweise Verschlüsselungstrojaner
  • Verschlüsselung sensibler Dateien, um anschließend ein Lösegeld zu fordern
  • Auslesen und Exfiltrieren von Daten, um zusätzlichen Druck auf das Opfer auszuüben

Das Ziel ist klar: Die Opfer sollen zahlen – sonst droht der dauerhafte Datenverlust oder die Veröffentlichung sensibler Informationen.

Warum viele Sicherheitslösungen versagen

Das besonders Heimtückische an dieser Kampagne:
Die Angreifer verwenden gestohlene digitale Zertifikate, die Windows als vertrauenswürdig einstuft.
Dadurch werden die schädlichen Dateien nicht als gefährlich erkannt, und viele Antivirenlösungen schlagen nicht an.

Bis das gestohlene Zertifikat durch Microsoft gesperrt wird, sind in der Regel bereits zahlreiche Systeme infiziert.
Die Cyberkriminellen wechseln anschließend einfach zu einem neuen gestohlenen Zertifikat.
Dieses Vorgehen gleicht einem Katz-und-Maus-Spiel, bei dem die Angreifer häufig einen Schritt voraus sind.

Warum die Methode so gefährlich ist

Diese Angriffe sind besonders erfolgreich, weil sie auf den natürlichen Vertrauensmechanismus von Nutzern setzen

  1. Suchmaschinenwerbung wirkt seriös, sie erscheint direkt über den echten Suchergebnissen.
  2. Die gefälschte Seite sieht täuschend echt aus, nur kleine Details wie eine leicht abweichende URL verraten den Betrug.
  3. Das Schadprogramm trägt ein gültiges Zertifikat und wird daher von Windows oder Virenscannern nicht blockiert.

Gerade Unternehmen, die neue Geräte einrichten oder Mitarbeiter im Homeoffice ausstatten, laufen Gefahr, unbewusst in diese Falle zu tappen.

So schützen Sie sich und Ihr Unternehmen

Wie immer gilt: Prävention ist der beste Schutz.
Die folgenden Maßnahmen helfen, solche Angriffe frühzeitig zu erkennen und abzuwehren.

  1. Software nur aus offiziellen Quellen laden

Laden Sie Programme ausschließlich über die offiziellen Webseiten der Hersteller herunter, nicht über Anzeigen oder Drittanbieter.

  1. URL und Zertifikat prüfen

Achten Sie auf HTTPS-Verbindungen und prüfen Sie, ob die Domain exakt mit dem Original übereinstimmt, zum Beispiel microsoft.com statt micros0ft-teams.com.

  1. Benutzerrechte einschränken

Arbeiten Sie nicht mit Administratorrechten, wenn Sie Software installieren oder im Internet surfen.

  1. Systeme aktuell halten

Führen Sie regelmäßig Updates durch, insbesondere für Betriebssystem, Browser und Sicherheitslösungen.

  1. Professionelle Endpoint-Security einsetzen

Nutzen Sie eine mehrstufige Sicherheitslösung, die auch neue, signaturlose Angriffe erkennt.
IT-Guard empfiehlt hier Lösungen, die auf Verhaltensanalyse, KI-Erkennung und Echtzeitüberwachung setzen.

  1. Mitarbeiter sensibilisieren

Schulen Sie Ihr Team regelmäßig im Umgang mit Phishing, Fake-Webseiten und Social Engineering.
Ein informierter Mitarbeiter ist oft die beste Firewall.

Fazit: Wachsamkeit bleibt der beste Schutz

Die aktuelle Ransomware-Kampagne zeigt erneut, wie raffiniert Cyberkriminelle inzwischen vorgehen.
Gefälschte Werbung in Suchmaschinen ist keine neue Masche, aber die Kombination aus gestohlenem Zertifikat und professionellem Webdesign macht diese Angriffe besonders gefährlich.

Die IT-Guard GmbH empfiehlt daher:
Bleiben Sie wachsam, prüfen Sie Downloads immer doppelt und setzen Sie auf ganzheitliche IT-Sicherheitslösungen, die nicht nur reagieren, sondern proaktiv schützen.

Die Kommentare sind geschlossen.

IT-Systemhaus Logo - IT-Guard

Persönliche Beratung vom IT-Systemhaus

Kontaktieren Sie uns.
Auf Wunsch sind wir 24/7 für Sie im Einsatz.

Jetzt anrufen

Kontakt aufnehmen / Rückruf vereinbaren

    * Ich habe die Datenschutzerklärung zur Kenntnis genommen und stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und gespeichert werden.