„Predator the Thief“

Verseuchte Updates für Microsoft Teams in Umlauf

Microsoft Teams ist in vielen Firmen das Tool der Wahl, wenn es um Videokonferenzen geht.

(Bild: ©monticellllo - stock.adobe.com)

Inmitten der zweiten Corona-Welle hat Home-Office in vielen Firmen wieder an Bedeutung gewonnen und Besprechungen werden mit Videokonferenz-Tools wie Microsoft Teams abgehalten. Das ruft Cyberkriminelle auf den Plan, die mit gefälschten Updates für Teams Nutzer in die Malware-Falle locken. Wer das verseuchte Update installiert, öffnet den Angreifern das Tor zum Firmennetzwerk und fängt sich Malware wie „Predator the Thief“ ein.

Microsoft warnt besonders Firmenkunden vor der neuen Malware-Kampagne und berichtet gegenüber „Bleeping Computer“, dass schon eine Reihe von Unternehmen bzw. Organisationen - unter anderem aus dem Bildungsbereich - Opfer der Hacker wurden. Deren Angriffsstrategie ist einfach, aber effektiv: Sie schalten Suchmaschinenwerbung für ihre gefälschten Microsoft-Teams-Updates und hoffen, Update-Willige in der Suchmaschine abzufangen und auf ihre manipulierten Websites zu locken.

Teams-Update mit versteckter Draufgabe
Dort erhält der Nutzer dann auch tatsächlich einen Microsoft-Teams-Installer, der eine legitime Version des Microsoft-Tools am Rechner installiert. Allerdings gibt’s obendrein die Malware Cobalt Strike, die sich nicht nur rasend schnell im ganzen Firmennetzwerk verbreiten und weitere Rechner angreifbar machen kann, sondern auch genutzt wird, um weitere Computerschädlinge nachzuladen. Dazu zähle laut Microsoft Daten verschlüsselnde Ransomware, die Firmeninterna quasi als Geisel nimmt und nur nach Zahlung eines Lösegeldes wieder Zugriff darauf gibt.

Ist der PC erst infiziert, werden weitere Schädlinge wie die Spyware "Predator the Thief" nachgeladen.

(Bild: stock.adobe.com)

Infizierte Rechner laden aber auch diverse andere Computerviren aus dem Internet nach - etwa den Datensauger „Predator the Thief“, der hochsensible Daten wie Login-Infos, Daten aus dem Browser oder auch Banking-Infos stiehlt. Auch andere Viren wie die Hintertür Bladabindi und die Spyware ZLoader stealer werden auf diesem Weg ins Firmennetzwerk geschleust. Neben den gefälschten Updates setzen die Hintermänner der Kampagne noch auf andere Tricks, um ihre Malware unters Volk zu bringen: Laut Microsoft wurden auch falsche URL-Verkürzungsangebote entdeckt, bei deren Besuch man sich Schädlinge einfangen kann.

Browser mit Malware-Filter empfehlenswert
Microsoft empfiehlt zum Schutz vor einer Infektion, Browser mit einem Filter für verseuchte Websites einzusetzen und sicherzustellen, dass das lokale Administratorpasswort stark genug ist und nicht leicht erraten werden kann. Außerdem solle man Administratorrechte nur den nötigsten Nutzern in einem Netzwerk einräumen, um das Risiko eines Malware-Angriffs zu minimieren. Möglich sei auch, das Ausführen von .exe-Dateien zu blockieren oder den Download von JavaScript- oder VBScript-Code zu unterbinden.

Menschen im Home-Office sind ein attraktives Ziel für Cyberkriminelle: Oft sind sie für diese ein Einfallstor ins Firmennetz.

(Bild: ©fizkes - stock.adobe.com)

Cyberkriminelle versuchen seit Beginn der Corona-Pandemie mit verschiedensten Tricks, über Nutzer im Home-Office Zugang zu Unternehmensnetzwerken zu erlangen. Neben gezielt für Business-User entwickelten Kampagnen wie jener mit dem falschen Teams-Update gibt es dabei auch jede Menge Gefahren für Privatnutzer: verseuchte Corona-Landkarten, Viren verteilende Websites, ja sogar gefälschte „Corona-Virenscanner“. Nicht zu vergessen ganz klassische Cyber-Bedrohungen, die auf der Corona-Welle reiten: Krypto-Trojaner und Spam-Kampagnen.