Diese Angriffe waren Teil einer Malvertising-Kampagne Ende September, bei der Suchmaschinenanzeigen und SEO-Poisoning eingesetzt wurden, um gefälschte Microsoft Teams-Installationsprogramme zu verbreiten, die Windows-Geräte mit der Malware Oyster (auch bekannt als Broomstick und CleanUpLoader) infizierten.
Die Anzeigen und Domains führten zu Webseiten, die sich als Download-Seite von Microsoft Teams ausgaben. Durch Klicken auf den prominent angezeigten Download-Link wurde eine Datei namens „MSTeamsSetup.exe“ heruntergeladen, die denselben Dateinamen wie das offizielle Teams-Installationsprogramm hatte. Doch statt des gewünschten Programms enthielt diese einen Loader, der die signierte Oyster-Malware bereitstellte, wodurch die Angreifer Fernzugriff auf die infizierten Systeme erhielten, und Dateien stehlen, Befehle ausführen und zusätzliche Malware nachladen konnten.
Die dabei zum Einsatz gekommene Sicherheitslücke nutzte Vanilla Tempest bereits seit Juni und setzt seit September 2025 neben Code-Signing-Diensten von SSL.com, DigiCert und GlobalSign auch Trusted Signing ein. Die verwendete Malware Rhysida wurde hingegen bereits Mitte 2023 erstmals beobachtet und bereits in anderen Kampagnen genutzt, um Unternehmensnetzwerke zu infiltrieren. Auch in diesen Fällen wurde sie häufig über Malvertising verbreitet und als beliebte IT-Tools getarnt.
Nun wurden die Sicherheitszertifikate, die von den Cyberkriminellen zur Legitimierung ihrer Malware missbraucht wurden, von Microsoft widerrufen. Damit werden alle Dateien, die dieses Zertifikat nutzen künftig als nicht sicher eingestuft. Das ist ein wichtiger Schritt, um die Nutzer vor Malware zu bewahren. Doch auch die User selbst können sich schützen, indem sie Programme nur aus offiziellen Quellen herunterladen und installieren. Hier empfiehlt sich auch immer ein Blick auf die URL, denn auch wenn der Link vorgibt, zu Microsoft zu führen, muss das nicht stimmen. Sicherer ist es auch, die URL händisch einzugeben.
Über die 8com GmbH & Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
