Microsoft Teams: Trojaner-Welle trifft Unternehmen weltweit

Cyberkriminelle setzen auf eine perfide neue Masche: Sie locken Mitarbeiter mit gefälschten Software-Downloads und täuschend echten Konferenz-Einladungen in die Falle. Was diese Woche bekannt wurde, markiert einen Wendepunkt in der Bedrohungslandschaft – die Angreifer bauen ganze Fake-Ökosysteme auf.

Gleich drei massive Kampagnen halten IT-Sicherheitsteams derzeit in Atem. Die Gemeinsamkeit? Alle nutzen das Vertrauen in professionelle Tools und geschäftliche Abläufe als Waffe. Besonders brisant: Die Attacken werden immer raffinierter und kombinieren verschiedene Angriffswege miteinander.

Die chinesische Hackergruppe “Silver Fox” hat eine ausgeklügelte Methode entwickelt, um Opfer zu ködern. Durch gezielte Suchmaschinenmanipulation landen ihre präparierten Webseiten ganz oben in den Google-Ergebnissen – genau dort, wo Nutzer nach “Microsoft Teams” suchen.

Das perfide System dahinter: Wer auf den vermeintlich offiziellen Download-Link klickt, erhält tatsächlich eine funktionierende Teams-Installation. Doch die Software ist manipuliert und schleust den Trojaner ValleyRAT (auch bekannt als Winos 4.0) auf das System. Die Schadsoftware kann Daten abgreifen, beliebige Befehle ausführen und sich dauerhaft im Netzwerk einnisten.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind? Aktuelle Fälle wie manipulierte Software-Downloads, SEO‑Manipulationen und OAuth‑Missbrauch zeigen: Kleine Sicherheitslücken reichen, damit Angreifer massiv zuschlagen. Der kostenfreie E‑Book‑Report erklärt die neuesten Bedrohungstrends, relevante Gesetzesänderungen und praxisnahe Maßnahmen, mit denen Geschäftsführer und IT‑Verantwortliche Risiken sofort reduzieren können. Außerdem enthalten: Checklisten für den Schutz gegen Multi‑Channel‑Angriffe inklusive Messenger‑Phishing. Jetzt kostenlosen Cyber-Security-Report herunterladen

ReliaQuest-Forscher warnen eindringlich: “Das ist kein simpler Download-Trick. Die Angreifer nutzen das implizite Vertrauen in offizielle Collaboration-Tools aus. Wenn der Nutzer merkt, dass etwas nicht stimmt, haben die Hacker längst Zugriff.”

Besonders tückisch: Die Malware enthält bewusst kyrillische Sprachelemente, um russische Hackergruppen zu imitieren und Ermittler auf falsche Fährten zu locken. Zunächst auf chinesischsprachige Nutzer fokussiert, richtet sich die Kampagne inzwischen gegen westliche Unternehmen mit Asien-Geschäft.

Die Konferenz-Falle mit menschlichem Gesicht

Während Silver Fox auf manipulierte Downloads setzt, verfolgt die russische Gruppe UTA0355 einen noch raffinierteren Ansatz. Sie gaukelt hochrangigen Zielpersonen exklusive Sicherheitskonferenzen vor – komplett mit professionellen Anmeldeportalen für Events wie die “Belgrade Security Conference” oder den “Brussels Indo-Pacific Dialogue”.

Die beunruhigende Neuerung: Die Angreifer setzen auf persönlichen Kontakt. Sobald ein Opfer auf die gefälschte Einladung reagiert, meldet sich vermeintlicher “Konferenz-Support” – via WhatsApp oder Signal.

“Die Angreifer bieten Live-Hilfe an, um sicherzustellen, dass die URL korrekt aufgerufen wird”, erklärt Sicherheitsfirma Volexity. Diese Hand-Holding-Taktik erfüllt einen doppelten Zweck: Sie zerstreut Misstrauen und umgeht automatische Sicherheitsfilter, da die Opfer OAuth-Links manuell kopieren und einfügen.

Zielgruppe dieser Kampagne? Regierungsbeamte, Think-Tanks und politische Organisationen – Menschen, die Angst haben, wichtige diplomatische Events zu verpassen.

Millionenfache Attacken dank Phishing-Baukasten

Als wäre das nicht genug, identifizierte die Sicherheitsfirma Barracuda Anfang Dezember das Framework “GhostFrame”. Dieses Phishing-Toolkit wurde bereits für über eine Million Angriffe genutzt und ermöglicht selbst weniger versierten Kriminellen professionelle Credential-Diebstähle.

Die Technik: GhostFrame bettet bösartige Inhalte über unsichtbare iframe-Strukturen in harmlos wirkende Webseiten ein. E-Mail-Gateways, die nach bekannten Schadlinks scannen, laufen ins Leere – die Hauptseite erscheint legitim.

Warum diese Angriffe so gefährlich sind

“Wir erleben einen Paradigmenwechsel weg von Massen-Spam hin zu hochkontextualisierten Multi-Kanal-Attacken”, warnt Dr. Elena Rossi vom European Institute for Cybersecurity. “Die UTA0355-Kampagne erstreckt sich über E-Mail, gefälschte Websites und verschlüsselte Messenger. Diese Kanal-übergreifende Vorgehensweise macht die Erkennung extrem schwierig.”

Besonders problematisch: Viele Unternehmen haben keine Sichtbarkeit auf die privaten WhatsApp- oder Signal-Kommunikationen ihrer Mitarbeiter. Genau diese Lücke nutzen die Angreifer aus.

Die Silver-Fox-Kampagne zeigt zudem die Gefahren von “Shadow IT”: Wenn Mitarbeiter benötigte Software nicht über offizielle IT-Kanäle beziehen, sondern selbst googeln, verlassen sie den geschützten Unternehmensperimeter.

Was jetzt zu erwarten ist

Sicherheitsexperten rechnen mit einer Intensivierung dieser Taktiken – besonders während der Feiertage, wenn die Wachsamkeit sinkt. Zu erwarten sind:

• Gefälschte Weihnachtsfeier-Einladungen nach dem Vorbild der UTA0355-Taktik
• Mehr SEO-Manipulationen für andere beliebte Business-Tools wie Zoom, Slack oder Adobe Creative Cloud
• Verschärfte Warnungen der US-Behörde CISA, die bereits Anfang Dezember vor China-verknüpfter Malware (Brickstorm-Backdoor) warnte

Unternehmen sollten dringend Software-Installationsrichtlinien durchsetzen, OAuth-Berechtigungen für unbekannte Anwendungen einschränken und Mitarbeiter schulen, “dringende” Support-Anfragen über Drittanbieter-Messenger kritisch zu hinterfragen. Denn eines ist klar: Die Angreifer werden nicht nachlassen.

PS: Sie möchten Ihr Unternehmen konkret gegen manipulierte Downloads, GhostFrame‑Angriffe und gefälschte Event‑Einladungen wappnen? Dieser kostenlose Leitfaden zeigt Schritt für Schritt, wie Sie Anti‑Phishing‑Prozesse etablieren, OAuth‑Risiken minimieren und Mitarbeiter für Messenger‑Tricks sensibilisieren – ohne teure Neueinstellungen. Mit sofort umsetzbaren Vorlagen für Incident Response und Maßnahmen gegen Shadow IT. Kostenlosen Leitfaden zur IT-Sicherheit anfordern