Microsoft Teams: Gefährliche Malware-Kampagne täuscht Millionen Nutzer

Perfide Betrugsmasche nutzt gefälschte Download-Seiten für Microsoft Teams, um die gefährliche „Oyster“-Schadsoftware zu verbreiten. Cyberkriminelle setzen auf manipulierte Suchergebnisse.

Sicherheitsforscher schlagen Alarm: Eine ausgeklügelte Cyberkampagne nimmt gezielt Nutzer ins Visier, die nach Microsoft Teams suchen. Die Angreifer locken ahnungslose User über manipulierte Werbeanzeigen und Suchergebnisse auf täuschend echte Download-Seiten.

Was besonders perfide ist: Die gefälschten Websites sehen der originalen Microsoft-Seite zum Verwechseln ähnlich. Doch statt der echten Teams-Software erhalten Nutzer einen verseuchten Installer, der die gefährliche „Oyster“-Schadsoftware einschleust.

Raffinierte Täuschung über Suchergebnisse

Der Angriff beginnt harmlos – mit einer simplen Suche nach „Teams Download“ in Suchmaschinen wie Bing. Hier haben die Cyberkriminelle geschickt ihre Fallen aufgestellt: Bezahlte Werbeanzeigen und manipulierte Websites erscheinen ganz oben in den Suchergebnissen.

Wer diese Links anklickt, wird über eine Kette verschiedener Domains zu betrügerischen Download-Seiten wie „teams-install.top“ weitergeleitet. Laut der Sicherheitsfirma Blackpoint SOC, die die Kampagne entdeckte, sind diese Fälschungen kaum vom Original zu unterscheiden.

Besonders hinterhältig: Die schädliche „MSTeamsSetup.exe“-Datei trägt teilweise sogar gültige digitale Signaturen. Das verleiht dem Betrug einen Anschein von Authentizität und umgeht grundlegende Sicherheitsprüfungen.

„Oyster“: Einfallstor für weitere Cyberattacken

Die falsche Installationsdatei schleust die Oyster-Malware ein – auch bekannt unter den Namen „Broomstick“ oder „CleanUpLoader“. Diese modulare Schadsoftware verschafft Angreifern dauerhaften Fernzugriff auf infizierte Windows-Computer.

Einmal installiert, öffnet Oyster Cyberkriminellen Tür und Tor: Sie können beliebige Befehle ausführen, weitere Schadsoftware nachladen und Dateien übertragen. Sicherheitsexperte warnen besonders vor den weitreichenden Folgen: Angreifer können ihre Rechte ausweiten, sich im Netzwerk ausbreiten und sensible Daten stehlen.

Die Malware sorgt durch geplante Aufgaben dafür, dass sie auch nach einem Neustart aktiv bleibt. Besonders brisant: Oyster wurde bereits mit Ransomware-Gruppen in Verbindung gebracht – die aktuelle Kampagne könnte also der Auftakt zu noch verheerenderen Angriffen sein.

Microsoft Teams im Visier der Cyberkriminellen

Diese Malvertising-Kampagne reiht sich in eine Serie von Sicherheitsproblemen rund um Teams ein. Bereits im August 2025 musste Microsoft eine kritische Schwachstelle (CVE-2025-53783) schließen, die Angreifern das Lesen und Manipulieren von Nachrichten ermöglichte.

Ransomware-Gruppen nutzen Teams außerdem für Social Engineering: Sie geben sich als IT-Support aus und versuchen in Chats, Mitarbeiter zur Installation von Schadsoftware zu bewegen. Die verschiedenen Angriffsvektoren zeigen: Teams‘ weite Verbreitung in Unternehmen macht die Plattform zu einem attraktiven Ziel.

Vertrauen als Waffe gegen Nutzer

Der Erfolg der Kampagne basiert auf einem psychologischen Trick: Nutzer vertrauen großen Marken wie Microsoft und den Suchergebnissen. SEO-Manipulation ist zwar nicht neu, aber hier besonders wirkungsvoll eingesetzt.

Blackpoint-Experten betonen: „Diese Aktivität zeigt den anhaltenden Missbrauch von SEO-Manipulation und bösartigen Anzeigen.“ Die Verwendung gültiger, wenn auch kurzlebiger Code-Signatur-Zertifikate demonstriert die zunehmende Raffinesse der Angreifer.

Schutz durch Aufmerksamkeit und klare Regeln

Sicherheitsexperten rechnen mit einer Fortsetzung und Weiterentwicklung solcher Malvertising-Kampagnen – sie sind schlicht zu profitabel. Der wichtigste Schutz: Mitarbeiterschulungen und strikte IT-Richtlinien.

Unternehmen sollten folgende Maßnahmen ergreifen:
– Software ausschließlich von offiziellen Herstellerseiten herunterladen
– Misstrauen gegenüber gesponserten Suchergebnissen
– Offizielle Download-Seiten als Lesezeichen speichern
– Endpoint Detection and Response (EDR)-Lösungen einsetzen

Anzeige: Apropos sichere Software-Installationen: Um sich nicht von gefälschten Download-Seiten täuschen zu lassen, lohnt es sich, einen eigenen, offiziellen Windows-Installer parat zu haben. Ein kostenloser Schritt-für-Schritt-Report zeigt, wie Sie einen Windows‑11‑USB‑Boot‑Stick korrekt erstellen und im Notfall nutzen – ohne Risiko durch dubiose Downloads. Jetzt kostenlosen Ratgeber „Windows 11 Boot‑Stick erstellen“ sichern

Da Kollaborationstools wie Teams zentral für Geschäftsabläufe bleiben, werden sie auch weiterhin im Fadenkreuz der Cyberkriminellen stehen. Wachsamkeit und präventive Maßnahmen sind der beste Schutz gegen diese raffinierte Bedrohung.