Microsoft Teams: Hacker täuschen Nutzer mit gefährlicher neuer Masche
Sicherheitsexperten haben zuletzt einen massiven Anstieg von Angriffen auf Nutzer der Microsoft-Software beobachtet. Neu dabei ist die Art und Weise, mit der sich die Angreifer Zugriff zu Computern und Systemen verschaffen. Worauf Anwender jetzt achten sollten.
Das Ziel dabei war es, den Nutzer im Rahmen der 'Problembehebung' dazu zu bringen, Software auf seinem Gerät zu installieren, die den Mitgliedern von Black Basta Zugang zum System verschaffte.
Jetzt hat sich die Vorgehensweise der Angreifer noch einmal geändert. So nutzen sie mittlerweile Microsoft Teams, um ihre Opfer zu kontaktieren, in Gespräche zu verwickeln und via Social Engeneering zu manipulieren.
Microsoft: Digital Defense Report 2024 - Ransomware auf dem Vormarsch
Während des folgenden Gesprächs überreden die Angreifer den Benutzer unter dem Vorwand, die E-Mail-Probleme zu lösen, legitime Fernverwaltungssoftware wie Quick Assist oder AnyDesk zu installieren. Über die werden schließlich Skripte ausgeführt, um sich dauerhaften Zugriff auf das System des Opfers zu verschaffen.
Seit Kurzem verwendet Black Basta auch QR-Codes, die in den Teams-Chats an die Zielpersonen verschickt werden. Dabei ist allerdings noch unklar, wofür sie konkret verwendet werden. Es ist durchaus möglich, dass die Codes die Nutzer zu weiteren bösartigen Software-Downloads führen, die das System der Opfer infizieren.
ReliaQuest weist darauf hin, dass sich die Black-Basta-Kampagne immer noch weiterentwickelt. Die grundlegenden Mechanismen wie der E-Mail-Spam und die Kontaktaufnahme als vermeintliche IT-Mitarbeiter blieben vermutlich aber dieselben. Daher hilft es bereits, für diese Art von Angriff sensibilisiert zu sein, um im Fall des Falles nicht auf die Betrüger hereinzufallen.
Siehe auch:
Hacker mit neuer Masche
Laut der Sicherheitsforscher von ReliaQuest hat die bekannte Hacker-Gruppe Black Basta ein neues Vorgehen, um Nutzer zu täuschen und Ransomware auf Systemen einzuschleusen. Bisher hatten die Angreifer Nutzer mit per E-Mail-Spam attackiert, wobei sie ihre Opfer in unter einer Stunde mit bis zu 1000 E-Mails bombardierten. Daraufhin kontaktierten die Kriminellen ihre Zielperson und boten als angeblicher IT-Support ihre Hilfe an.Das Ziel dabei war es, den Nutzer im Rahmen der 'Problembehebung' dazu zu bringen, Software auf seinem Gerät zu installieren, die den Mitgliedern von Black Basta Zugang zum System verschaffte.
Jetzt hat sich die Vorgehensweise der Angreifer noch einmal geändert. So nutzen sie mittlerweile Microsoft Teams, um ihre Opfer zu kontaktieren, in Gespräche zu verwickeln und via Social Engeneering zu manipulieren.
Kriminelle kontaktieren Opfer über Teams
Nach Spam-Ereignissen werden betroffene Personen zu Microsoft Teams-Chats mit externen Benutzern hinzugefügt. Die geben sich mithilfe eines entsprechenden Anzeigenamens als Support-, Admin- oder Helpdesk-Mitarbeiter aus. Dabei verwenden sie verschiedene Entra-Mandanten-IDs wie securityadminhelper.onmicrosoft.com oder supportadministrator.onmicrosoft.com. Die Chats sind oft mit dem Namen "OneOnOne" versehen.Microsoft: Digital Defense Report 2024 - Ransomware auf dem Vormarsch
Während des folgenden Gesprächs überreden die Angreifer den Benutzer unter dem Vorwand, die E-Mail-Probleme zu lösen, legitime Fernverwaltungssoftware wie Quick Assist oder AnyDesk zu installieren. Über die werden schließlich Skripte ausgeführt, um sich dauerhaften Zugriff auf das System des Opfers zu verschaffen.
Seit Kurzem verwendet Black Basta auch QR-Codes, die in den Teams-Chats an die Zielpersonen verschickt werden. Dabei ist allerdings noch unklar, wofür sie konkret verwendet werden. Es ist durchaus möglich, dass die Codes die Nutzer zu weiteren bösartigen Software-Downloads führen, die das System der Opfer infizieren.
Wie man sich bestmöglich schützen kann
Als Prävention gegen diese Masche schlagen die Sicherheitsforscher einige Maßnahmen vor:- Unternehmen sollten die Kommunikation mit externen Benutzern innerhalb von Teams deaktivieren, um zu verhindern, dass unerwünschte Chat-Nachrichten die Endbenutzer erreichen.
- Wenn die Kommunikation mit externen Benutzern erforderlich ist, können bestimmte vertrauenswürdige Domains einzeln zugelassen werden.
- Die Einrichtung aggressiver Anti-Spam-Richtlinien in E-Mail-Sicherheitstools kann verhindern, dass die Posteingänge der Nutzer mit Spam überschwemmt werden.
- Microsoft Teams-Konten, die sich als IT-Helpdesks ausgeben, haben normalerweise den Namen "Help Desk". Diese Zeichenfolge ist häufig von Leerzeichen umgeben, um den Namen in Chats zu zentrieren. Bei der Suche nach diesen Konten sollten Unternehmen nach "enthält" und nicht nach einer direkten Übereinstimmung suchen.
ReliaQuest weist darauf hin, dass sich die Black-Basta-Kampagne immer noch weiterentwickelt. Die grundlegenden Mechanismen wie der E-Mail-Spam und die Kontaktaufnahme als vermeintliche IT-Mitarbeiter blieben vermutlich aber dieselben. Daher hilft es bereits, für diese Art von Angriff sensibilisiert zu sein, um im Fall des Falles nicht auf die Betrüger hereinzufallen.
Zusammenfassung
- Hacker-Gruppe Black Basta nutzt neue Methode für Ransomware-Angriffe
- Microsoft Teams wird für Social-Engineering-Attacken missbraucht
- Angreifer geben sich als IT-Support aus und täuschen Hilfeleistung vor
- Ziel: Installation von Fernverwaltungssoftware für Systemzugriff
- QR-Codes in Teams-Chats könnten zu schädlichen Downloads führen
- Deaktivierung externer Kommunikation in Teams wird empfohlen
- Sensibilisierung für diese Angriffsmethode kann vor Betrug schützen
Siehe auch:
- Ransomware: Casio kann seit fast zwei Wochen nicht mehr arbeiten
- Russische Ransomware-Banden zunehmend in Staatsauftrag unterwegs
- Ransomware-Attacke: Pharmaunternehmen zahlt Rekordsumme
- Ransomware: Nur wenige Gruppen beherrschen die Szene
- 400 GB Patientendaten: Ransomware legt Londons Krankenhäuser lahm
Thema:
Videos zum Thema
Beliebte Microsoft Teams-Downloads
Jabra Evolve 2 im Preisvergleich
Amazon.de 
Galaxus 
Visunext 
Edu.de 
Playox.de Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
- Doppelrumpfdesign: So soll Aerodynamik von Flugzeugen besser werden
- Erster bemannter Flugzeugflug mit Feststoffbatterien ist gelungen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen