Ink Drop – shutterstock.com
Durch die zunehmende Verbreitung von Remote-Work geraten Collaboration-Tools immer wieder in das Visier von Cyberkriminellen. Microsoft entdeckte vor kurzem eine Angriffskampagne der Ransomware-Bande Vanilla Tempest, die auf gefälschten Teams-Installationsprogrammen basiert.
So läuft der Angriff ab
Die Angreifer verwendeten dazu imitierte MSTeamsSetup.exe-Dateien, die auf bösartigen Domains gehostet wurden. Ziel war es, ahnungslose Teams-Anwender auf eine gefakte Microsoft-Seite zu locken. Durch einen Klick auf das Teams-Setup wurde ein Loader bereitgestellt, der wiederum eine betrügerisch signierte Oyster-Backdoor bereitstellte. Auf diese Weise sollte die Erpressungssoftware Rhysida ins Spiel gebracht werden.
Nach eigenen Angaben hat Microsoft die Kampagne erstmals Ende September 2025 erkannt, als seine Telemetriedaten eine missbräuchliche Nutzung vertrauenswürdiger Signaturinfrastrukturen aufzeigten. Demnach hatten sich die Angreifer legitime Signaturen durch kompromittierte Signaturdienste verschafft. Zu den betroffenen Zertifizierungsstellen gehörten SSL.com, DigiCert und GlobalSign.
