Gefährlicher Download: Fake-Teams-Installer verteilt fiese Malware
Als Suchergebnis wirkt die Seite glaubwürdig, doch der Klick führt zu einer Schadsoftware: Angreifer nutzen bezahlte Anzeigen und manipulierte Suchergebnisse, um einen vermeintlichen Microsoft Teams-Installer zu verbreiten. Darauf muss man achten.
Nach der Infektion erlaubt sie es Angreifern, aus der Ferne Befehle auszuführen, weitere Schadprogramme nachzuladen und Dateien vom Gerät zu übertragen. Kurz gesagt: Oyster schafft für Kriminelle einen unbemerkten Zugang, mit dem später größere Angriffe möglich werden können.
Der Trick hinter der aktuellen Kampagne ist simpel und effektiv: Nutzer suchen nach "Teams Download" und bekommen eine Anzeige oder ein Suchtreffer angezeigt, der auf eine gefälschte Downloadseite führt. Dort heißt die Datei genauso wie beim Original - "MSTeamsSetup.exe" - und ist deshalb auf den ersten Blick schwer von der echten Installationsdatei zu unterscheiden.
In einigen Fällen dient Oyster als Einstieg, um später Ransomware-Operationen oder andere schwere Angriffe vorzubereiten. In den untersuchten Fällen war die Datei sogar mit scheinbar legitimen Signaturzertifikaten versehen, um Misstrauen zu dämpfen. Technisch läuft der Fake-Installer so ab: Beim Start legt er eine DLL mit dem Namen "CaptureService.dll" im Ordner %APPDATA%\Roaming ab. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Im vergangenen Jahr machte eine solche Malware-Kampagne von sich reden, bei der Hacker unbedarfte Nutzer mit gefälschten WinSCP- und Putty-Downloads in die Falle lockten.
Wie schützen sich Anwender und Firmen? Für Privatanwender gilt: Software möglichst ausschließlich Seiten laden, die man kennt, die URL prüfen und bezahlte Anzeigen in den Suchanfragen zu Downloads meiden. Bei Unsicherheit ist es ratsam, die offizielle Website manuell anzusteuern statt über Suchergebnisse zu gehen.
IT-Verantwortliche sollten zusätzlich technische Maßnahmen ergreifen: Downloads von Drittseiten einschränken, ausführbare Dateien aus nicht standardmäßigen Pfaden überwachen, Scheduled Tasks auf ungewöhnliche Einträge prüfen und EDR/SIEM-Regeln anlegen, die Aktivitäten wie das Ablegen und Aufrufen von DLLs aus %APPDATA% detektieren. Auch die kritische Überprüfung von Code-Signaturen kann helfen, falsch positive Vertrauenssignale zu reduzieren.
Wie achtet ihr auf mögliche Gefahren, damit ein vermeintlicher Installer nicht zur offenen Hintertür für das (Heim-) Netzwerk wird?
Download Microsoft Teams - Slack-Konkurrent für Office 365
Siehe auch:
Eine weitere Malvertising-Falle
Dieses Vorgehen ist nicht neu und als "malvertising" und "SEO-Poisoning" bekannt. Nun trifft es mit der Microsoft Teams-Anwendung eine App, die tagtäglich von Nutzern über Google und Co gesucht und heruntergeladen wird.Hintertür statt Videokonferenz-Software
Wie das Online-Magazin Bleeping Computer warnt, findet damit jetzt eine bekannte Schadsoftware namens Oyster, aka Broomstick oder CleanUpLoader, auf die Computer von unvorsichtigen Nutzern. Es handelt sich bei Oyster um einen Hintertür, die seit Mitte 2023 bekannt ist.Nach der Infektion erlaubt sie es Angreifern, aus der Ferne Befehle auszuführen, weitere Schadprogramme nachzuladen und Dateien vom Gerät zu übertragen. Kurz gesagt: Oyster schafft für Kriminelle einen unbemerkten Zugang, mit dem später größere Angriffe möglich werden können.
Der Trick hinter der aktuellen Kampagne ist simpel und effektiv: Nutzer suchen nach "Teams Download" und bekommen eine Anzeige oder ein Suchtreffer angezeigt, der auf eine gefälschte Downloadseite führt. Dort heißt die Datei genauso wie beim Original - "MSTeamsSetup.exe" - und ist deshalb auf den ersten Blick schwer von der echten Installationsdatei zu unterscheiden.
In einigen Fällen dient Oyster als Einstieg, um später Ransomware-Operationen oder andere schwere Angriffe vorzubereiten. In den untersuchten Fällen war die Datei sogar mit scheinbar legitimen Signaturzertifikaten versehen, um Misstrauen zu dämpfen. Technisch läuft der Fake-Installer so ab: Beim Start legt er eine DLL mit dem Namen "CaptureService.dll" im Ordner %APPDATA%\Roaming ab. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
So bleibt das Einfallstor offen
Zusätzlich richtet die Malware eine geplante Aufgabe ("CaptureService") ein, die das Modul alle elf Minuten startet. Dadurch bleibt die Hintertür auch nach einem Neustart aktiv - ein Standardtrick, um Persistenz auf dem System zu gewährleisten.Im vergangenen Jahr machte eine solche Malware-Kampagne von sich reden, bei der Hacker unbedarfte Nutzer mit gefälschten WinSCP- und Putty-Downloads in die Falle lockten.
Wie schützen sich Anwender und Firmen? Für Privatanwender gilt: Software möglichst ausschließlich Seiten laden, die man kennt, die URL prüfen und bezahlte Anzeigen in den Suchanfragen zu Downloads meiden. Bei Unsicherheit ist es ratsam, die offizielle Website manuell anzusteuern statt über Suchergebnisse zu gehen.
IT-Verantwortliche sollten zusätzlich technische Maßnahmen ergreifen: Downloads von Drittseiten einschränken, ausführbare Dateien aus nicht standardmäßigen Pfaden überwachen, Scheduled Tasks auf ungewöhnliche Einträge prüfen und EDR/SIEM-Regeln anlegen, die Aktivitäten wie das Ablegen und Aufrufen von DLLs aus %APPDATA% detektieren. Auch die kritische Überprüfung von Code-Signaturen kann helfen, falsch positive Vertrauenssignale zu reduzieren.
Wie achtet ihr auf mögliche Gefahren, damit ein vermeintlicher Installer nicht zur offenen Hintertür für das (Heim-) Netzwerk wird?
Download Microsoft Teams - Slack-Konkurrent für Office 365
Zusammenfassung
- Malware-Verbreitung durch gefälschte Microsoft Teams-Downloads
- Angreifer nutzen bezahlte Anzeigen und manipulierte Suchergebnisse
- Schadsoftware Oyster ermöglicht Fernzugriff und spätere Angriffe
- Fake-Installer mit identischen Namen und gefälschten Zertifikaten
- Malware erreicht Persistenz durch geplante Systemaufgaben
- IT-Personal besonders gefährdet aufgrund höherer Berechtigungen
- Software nur von offiziellen Websites laden, Anzeigen meiden
Siehe auch:
Thema:
Videos zum Thema
-
NiPoGi E3B: Mini-PC mit ungewöhnlichem Prozessor für Office & Co.
-
Soayan MN-N5: Billiger Mini-PC für Office und Web im Test
-
Blackview MP60: Günstiger Mini-PC für Office & Co. im Test
-
Beelink EQR6: Mini-PC mit viel Power für die Office-Nutzung im Test
-
Microsoft Loop ist da: Neue Office-App startet als Preview-Version
Beliebte Office-Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen