Teams-Installer: Neue Cyberattacke zielt auf Unternehmen

Cyberkriminelle nutzen gefälschte Microsoft Teams-Downloads, um Firmen mit der Schadsoftware „Oyster“ zu infizieren. Die Angreifer setzen auf manipulierte Suchergebnisse und täuschend echte Webseiten.

Eine raffinierte Cyberattacke macht derzeit deutschen und internationalen Unternehmen zu schaffen. Sicherheitsforscher von Blackpoint SOC entdeckten eine breit angelegte Kampagne, bei der Kriminelle über gefälschte Suchanzeigen und manipulierte Google-Ergebnisse Nutzer auf Köder-Webseiten locken. Dort laden ahnungslose Mitarbeiter vermeintliche Teams-Software herunter – und öffnen damit Hackern die Hintertür ins Firmennetzwerk.

Die Masche zeigt einmal mehr: Cyberkriminelle missbrauchen gezielt das Vertrauen in bekannte Marken wie Microsoft, um Sicherheitsbarrieren zu umgehen.

Täuschend echte Download-Fallen

Die Angreifer haben ihre Hausaufgaben gemacht. Ihre gefälschten Webseiten imitieren perfekt die offizielle Microsoft Teams-Downloadseite und ranken bei Suchanfragen wie „Teams Download“ prominent in den Ergebnissen. Die verwendete Domain teams-install[.]top erweckt auf den ersten Blick keinen Verdacht.

Besonders perfide: Die heruntergeladene Datei trägt den Namen „MSTeamsSetup.exe“ – exakt wie das Original von Microsoft. Sogar digitale Zertifikate von „4th State Oy“ und „NRM NETWORK RISK MANAGEMENT INC“ sollen Vertrauen erwecken.

Doch statt Teams zu installieren, schleust die Fake-Software eine Schaddatei namens CaptureService.dll ins System ein. Ein automatischer Task sorgt dafür, dass sich die Malware alle elf Minuten reaktiviert – selbst nach Neustarts bleibt der digitale Eindringling aktiv.

Anzeige: Apropos sichere Downloads: Wer Windows nach einem Vorfall sauber neu aufsetzen oder einen infizierten PC retten will, sollte einen startfähigen USB‑Stick parat haben. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und korrekt einsetzen – ideal als Notfall‑Tool gegen Malware-Folgen, inklusive Checkliste. Jetzt Gratis‑Anleitung „Windows 11 Boot‑Stick erstellen“ sichern

Oyster öffnet alle Türen

Hinter der Attacke steckt die bereits seit Mitte 2023 bekannte Schadsoftware „Oyster“ (auch „Broomstick“ oder „CleanUpLoader“ genannt). Diese Backdoor-Malware verschafft Angreifern weitreichende Kontrolle über infizierte Systeme.

Die Möglichkeiten sind erschreckend vielfältig: Von der Fernsteuerung kompromittierter Rechner über das Nachladen zusätzlicher Schadsoftware bis hin zum Datendiebstahl. Häufig verkaufen spezialisierte „Access Broker“ solche Zugänge an andere Kriminelle weiter – etwa an Ransomware-Gruppen.

„Diese Aktivitäten zeigen den anhaltenden Missbrauch von SEO-Manipulation und bösartigen Anzeigen“, warnen die Blackpoint-Forscher. Der Trick, unter dem Deckmantel vertrauensvoller Software zu operieren, erweise sich als hocheffektiv.

Teams im Visier der Hacker

Microsoft Teams gerät zunehmend ins Fadenkreuz von Cyberkriminellen. Erst kürzlich täuschten Angreifer IT-Support vor und überzeugten Mitarbeiter in direkten Team-Chats, Fernzugriffs-Tools wie AnyDesk zu installieren. Darüber schleusten sie dann Ransomware wie DarkGate oder BlackBasta ein.

Der Grund liegt auf der Hand: Über 300 Millionen aktive Nutzer vertrauen täglich auf die Plattform. Diese Vertrauensbasis macht Teams zu einem lukrativen Ziel. Mitarbeiter sind darauf konditioniert, Kommunikation und Dateifreigaben innerhalb der Plattform als sicher zu betrachten.

Die Angreifergruppe EncryptHub (auch „Water Gamayun“) hat sich bereits auf solche Tricks spezialisiert. Doch aktuelle Erkenntnisse zeigen: Mehrere Gruppierungen erkennen unabhängig voneinander das Potenzial der Teams-Marke als Köder.

Schutzmaßnahmen für den Ernstfall

Die Bedrohung wird mit der fortschreitenden Remote-Arbeit weiter zunehmen. Sicherheitsexperten rechnen damit, dass Kriminelle künftig sogar KI-gestützte Chatbots oder Deepfake-Technologie einsetzen werden.

Unternehmen sollten daher mehrschichtige Abwehrstrategien implementieren: Browser-Schutztools blockieren schädliche Anzeigen bereits im Vorfeld. Mitarbeiterschulungen sensibilisieren für Social Engineering – unabhängig von der Plattform.

Entscheidend bleibt: Software nur über offizielle Kanäle herunterladen. Wer auf Nummer sicher gehen will, bezieht Programme ausschließlich über firmeneigene Software-Portale oder direkt von verifizierten Herstellerseiten.

Anzeige: Für den Ernstfall ist ein sauberer Neuaufsetz‑Plan Gold wert. Mit einem selbst erstellten Windows‑11‑Boot‑Stick installieren Sie das System aus verifizierten Quellen neu oder reparieren es – ohne teuren Service. Der Schritt‑für‑Schritt‑Report erklärt alles in wenigen Minuten. Kostenlosen Boot‑Stick‑Guide per E‑Mail anfordern

Die Kombination aus technischen Schutzmaßnahmen und wachsamen, geschulten Mitarbeitern bleibt der beste Schutz gegen diese raffinierten Angriffe.