Durch die immer größere Verbreitung von Remote-Arbeitsplätzen sind auch Plattformen wie Zoom oder Microsoft Teams auf dem Vormarsch und werden zunehmend für Chats, Video-Calls und Terminabsprachen genutzt. Cyberkriminelle versuchen immer wieder, das für sich zu nutzen und greifen diese Plattformen gezielt an. Im aktuellen Fall hat die Hackergruppe Vanilla Tempest eine Reihe von Domains verwendet, die sich als Microsoft Teams ausgaben, um gefälschte MSTeamsSetup.exe-Dateien zu verbreiten.
Diese Angriffe waren Teil einer Malvertising-Kampagne Ende September, bei der Suchmaschinenanzeigen und SEO-Poisoning eingesetzt wurden, um gefälschte Microsoft Teams-Installationsprogramme zu verbreiten, die Windows-Geräte mit der Malware Oyster (auch bekannt als Broomstick und CleanUpLoader) infizierten.
Die Anzeigen und Domains führten zu Webseiten, die sich als Download-Seite von Microsoft Teams ausgaben. Durch Klicken auf den prominent angezeigten Download-Link wurde eine Datei namens „MSTeamsSetup.exe“ heruntergeladen, die denselben Dateinamen wie das offizielle Teams-Installationsprogramm hatte. Doch statt des gewünschten Programms enthielt diese einen Loader, der die signierte Oyster-Malware bereitstellte, wodurch die Angreifer Fernzugriff auf die infizierten Systeme erhielten, und Dateien stehlen, Befehle ausführen und zusätzliche Malware nachladen konnten.
Die dabei zum Einsatz gekommene Sicherheitslücke nutzte Vanilla Tempest bereits seit Juni und setzt seit September 2025 neben Code-Signing-Diensten von SSL.com, DigiCert und GlobalSign auch Trusted Signing ein. Die verwendete Malware Rhysida wurde hingegen bereits Mitte 2023 erstmals beobachtet und bereits in anderen Kampagnen genutzt, um Unternehmensnetzwerke zu infiltrieren. Auch in diesen Fällen wurde sie häufig über Malvertising verbreitet und als beliebte IT-Tools getarnt.
Nun wurden die Sicherheitszertifikate, die von den Cyberkriminellen zur Legitimierung ihrer Malware missbraucht wurden, von Microsoft widerrufen. Damit werden alle Dateien, die dieses Zertifikat nutzen künftig als nicht sicher eingestuft. Das ist ein wichtiger Schritt, um die Nutzer vor Malware zu bewahren. Doch auch die User selbst können sich schützen, indem sie Programme nur aus offiziellen Quellen herunterladen und installieren. Hier empfiehlt sich auch immer ein Blick auf die URL, denn auch wenn der Link vorgibt, zu Microsoft zu führen, muss das nicht stimmen. Sicherer ist es auch, die URL händisch einzugeben.
Diese Angriffe waren Teil einer Malvertising-Kampagne Ende September, bei der Suchmaschinenanzeigen und SEO-Poisoning eingesetzt wurden, um gefälschte Microsoft Teams-Installationsprogramme zu verbreiten, die Windows-Geräte mit der Malware Oyster (auch bekannt als Broomstick und CleanUpLoader) infizierten.
Die Anzeigen und Domains führten zu Webseiten, die sich als Download-Seite von Microsoft Teams ausgaben. Durch Klicken auf den prominent angezeigten Download-Link wurde eine Datei namens „MSTeamsSetup.exe“ heruntergeladen, die denselben Dateinamen wie das offizielle Teams-Installationsprogramm hatte. Doch statt des gewünschten Programms enthielt diese einen Loader, der die signierte Oyster-Malware bereitstellte, wodurch die Angreifer Fernzugriff auf die infizierten Systeme erhielten, und Dateien stehlen, Befehle ausführen und zusätzliche Malware nachladen konnten.
Die dabei zum Einsatz gekommene Sicherheitslücke nutzte Vanilla Tempest bereits seit Juni und setzt seit September 2025 neben Code-Signing-Diensten von SSL.com, DigiCert und GlobalSign auch Trusted Signing ein. Die verwendete Malware Rhysida wurde hingegen bereits Mitte 2023 erstmals beobachtet und bereits in anderen Kampagnen genutzt, um Unternehmensnetzwerke zu infiltrieren. Auch in diesen Fällen wurde sie häufig über Malvertising verbreitet und als beliebte IT-Tools getarnt.
Nun wurden die Sicherheitszertifikate, die von den Cyberkriminellen zur Legitimierung ihrer Malware missbraucht wurden, von Microsoft widerrufen. Damit werden alle Dateien, die dieses Zertifikat nutzen künftig als nicht sicher eingestuft. Das ist ein wichtiger Schritt, um die Nutzer vor Malware zu bewahren. Doch auch die User selbst können sich schützen, indem sie Programme nur aus offiziellen Quellen herunterladen und installieren. Hier empfiehlt sich auch immer ein Blick auf die URL, denn auch wenn der Link vorgibt, zu Microsoft zu führen, muss das nicht stimmen. Sicherer ist es auch, die URL händisch einzugeben.
