Microsoft Teams: Millionen Nutzer im Visier gefährlicher Malware-Kampagne

Eine raffiniertere Cyberattacke gefährdet derzeit Millionen von Microsoft Teams-Nutzern weltweit. Cyberkriminelle nutzen manipulierte Suchmaschinenwerbung, um eine gefälschte Version der beliebten Kollaborationssoftware zu verbreiten. Das Perfide: Die Schadsoftware „Oyster“ verschafft Angreifern dauerhaften Zugang zu Unternehmensnetzwerken.

Die Warnung der Cybersecurity-Firma Blackpoint SOC zeigt eine besorgniserregende Entwicklung auf. Statt auf klassische E-Mail-Attacken zu setzen, missbrauchen Hacker nun das Vertrauen der Nutzer in Suchmaschinen und bekannte Software-Marken. Durch SEO-Manipulation und bezahlte Anzeigen erscheinen die gefälschten Download-Links prominent in den Suchergebnissen.

Der Angriff: Wie Fake-Werbung zur Falle wird

Der Ablauf ist tückisch einfach: Nutzer suchen bei Bing nach „Teams Download“ und stoßen auf scheinbar offizielle Microsoft-Links. Die manipulierten Anzeigen führen jedoch zu gefälschten Websites, die Trojaner-verseuchte Installationsdateien wie „MSTeamsSetup.exe“ anbieten.

Nach der Ausführung installiert sich die Oyster-Malware diskret im System. Sie platziert eine schädliche DLL-Datei namens „CaptureService.dll“ im AppData-Ordner und richtet geplante Aufgaben ein, um dauerhaft im System zu verbleiben. Was folgt, ist ein Alptraum für jede IT-Sicherheit.

Anzeige: Apropos infizierte Systeme: Wer nach einem Malware-Befall Windows schnell sauber neu aufsetzen oder für den Notfall gerüstet sein möchte, kann in wenigen Minuten einen Windows‑11‑Boot‑Stick erstellen. Ein kostenloser Schritt-für-Schritt-Report erklärt, welche Dateien Sie brauchen, welche Fehler Sie vermeiden und wie Sie den Stick im Ernstfall richtig einsetzen. Jetzt kostenlosen Ratgeber „Windows‑11‑Boot‑Stick erstellen“ sichern

Oyster-Backdoor: Vollzugriff auf Unternehmensdaten

Die bereits 2023 entdeckte Oyster-Malware etabliert eine versteckte Kommando-Zentrale im infizierten System. Über diese Hintertür können Angreifer beliebige Befehle ausführen, zusätzliche Schadsoftware nachladen und sensible Daten abgreifen.

Besonders perfide: Die Malware tarnt sich hinter der vertrauenswürdigen Teams-Anwendung und entgeht so vielen Standard-Sicherheitssystemen. Für IT-Teams wird es zur Herausforderung, zwischen legitimen und schädlichen Netzwerkaktivitäten zu unterscheiden.

Neue Taktik: Vertrauen in Collaboration-Tools ausnutzen

Diese Kampagne ist kein Einzelfall, sondern Teil einer wachsenden Bedrohung. Cyberkriminelle haben erkannt, dass Mitarbeiter bei Kollaborationstools weniger misstrauisch sind als bei E-Mails. Die Annahme eines „sicheren“ Unternehmensumfelds wird zur Schwachstelle.

Der Zeitdruck im Arbeitsalltag verstärkt das Problem zusätzlich. Wer schnell produktiv sein muss, überspringt gerne Sicherheitsprüfungen. Blackpoint warnt: „Angreifer nutzen erfolgreich das Vertrauen in Suchergebnisse und bekannte Marken aus.“

Entwicklung der Bedrohungslandschaft: Von E-Mail zu Malvertising

Der Wechsel zu manipulierter Suchmaschinenwerbung markiert eine strategische Wende der Cyberkriminalität. Diese Methode umgeht traditionelle E-Mail-Sicherheitsfilter und erreicht Nutzer mit konkretem Software-Bedarf direkt.

Die Oyster-Backdoor dient oft nur als Einstiegspunkt. Kriminelle Netzwerke verkaufen den Zugang an spezialisierte Ransomware-Gruppen oder Datendiebe. Das „Malware-as-a-Service“-Modell senkt die Einstiegshürden für komplexe Angriffe erheblich.

Schutzmaßnahmen: Nur offizielle Quellen nutzen

Sicherheitsexperten raten dringend dazu, Software ausschließlich von offiziellen Herstellerseiten herunterzuladen. Suchmaschinenwerbung für Software-Downloads sollte grundsätzlich gemieden werden. Unternehmen müssen ihre Mitarbeiter über die Risiken von Malvertising aufklären.

Moderne Endpoint-Schutzlösungen können verdächtige Prozesse wie die Oyster-Installation erkennen und blockieren. IT-Teams sollten nach Anzeichen der Kompromittierung suchen, insbesondere nach der „CaptureService.dll“-Datei und ungewöhnlichen geplanten Aufgaben.

Der Kampf zwischen Suchmaschinenanbietern und Cyberkriminellen wird weitergehen. Während Microsoft und andere Anbieter schädliche Anzeigen entfernen, erstellen Angreifer bereits neue Domains und Kampagnen. Wachsamkeit bleibt das wichtigste Mittel gegen diese raffinierte Bedrohung.