Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Microsoft Teams und AnyDesk zur Malware-Verbreitung missbraucht

Eine neue Social-Engineering-Kampagne nutzt Microsoft Teams Malware DarkGate, um Systeme zu infizieren.

Anwendungen und SystemeBedrohungenKünstliche Intelligenz
Lesezeit 2 Min.

Ein Angreifer nutzte Social Engineering über einen Microsoft-Teams-Anruf, um sich als Kunde des Opfers auszugeben und Zugang zu dessen System zu erhalten, so die Trend-Micro-Experten Catherine Loveria, Jovit Samaniego und Gabriel Nicoleta. Der Angreifer konnte das Opfer dazu bringen, AnyDesk, ein häufig genutztes Tool für Fernzugriff, herunterzuladen und einzurichten. Der Versuch, eine Microsoft Remote Support-Anwendung beim Opfer zu installieren, war zuvor gescheitert.

Laut dem Cybersecurity-Unternehmen Rapid7 bombardierten die Angreifer im Vorfeld den E-Mail-Posteingang des Opfers mit Tausenden von Nachrichten und gaben sich anschließend über Microsoft Teams als Mitarbeiter eines externen Lieferanten aus.

Durch den installierten Fernzugriff über AnyDesk übertrugen die Angreifer verschiedene Schadprogramme, darunter einen Credential Stealer und die DarkGate-Malware, und missbrauchten die Verbindung für weitere bösartige Aktionen.

Für seine Heimtücke bekannt: DarkGate

DarkGate, ein seit 2018 aktiver Remote-Access-Trojaner (RAT), hat sich zu einem streng kontrollierten Malware-as-a-Service-Angebot (MaaS) mit einer begrenzten Anzahl von Kunden entwickelt. Zu den Funktionen gehören unter anderem der Diebstahl von Anmeldeinformationen, Keylogging, Screen-Capturing, Audioaufzeichnung und Remote-Desktop-Zugriff.

Eine Analyse vergangener Kampagnen zeigt, dass DarkGate häufig über AutoIt- oder AutoHotKey-Skripte verbreitet wird. Im von Trend Micro untersuchten Fall wurde die Malware mithilfe eines AutoIt-Skripts verteilt. Obwohl der Angriff gestoppt wurde, bevor Daten gestohlen werden konnten, zeigen die Erkenntnisse, wie vielseitig Bedrohungsakteure vorgehen, um sich Zugang zu Systemen zu verschaffen und Malware zu verbreiten.

Als Schutzmaßnahmen wird Unternehmen empfohlen, Multi-Faktor-Authentifizierung zu aktivieren, nur genehmigte Fernzugriffs-Tools zuzulassen, nicht verifizierte Anwendungen zu blockieren und Drittanbieter gründlich zu überprüfen, um das Risiko von Social-Engineering-Angriffen wie Vishing zu minimieren.

Zunehmende Phishing-Bedrohungen

Die Verbreitung von Phishing-Kampagnen nimmt zu, oft kombiniert mit raffinierten Täuschungstechniken:

  1. YouTube-Kampagnen: Angreifer geben sich als bekannte Marken aus und locken Content-Ersteller über E-Mails zu vermeintlichen Werbe- oder Partnerschaftsangeboten. Ziel ist es, Schadsoftware wie den Lumma Stealer einzusetzen.
  2. Quishing: Phishing-E-Mails mit QR-Code-Anhängen leiten auf gefälschte Microsoft 365-Anmeldeseiten, um Anmeldeinformationen zu stehlen.
  3. Cloudflare-Missbrauch: Phishing-Seiten nutzen das Vertrauen in Cloudflare Pages und Workers, um Microsoft 365-Anmeldeseiten und CAPTCHA-Checks zu imitieren.
  4. HTML-Anhänge: Tarnung als legitime Dokumente, aber mit eingebettetem JavaScript, um Benutzer auf Phishing-Seiten umzuleiten oder schädliche Befehle auszuführen.
  5. Plattformmissbrauch: Angriffe nutzen Plattformen wie Docusign, Adobe InDesign und Google AMP, um über gefälschte Links Anmeldedaten abzufangen.
  6. Phishing-Angriffe: Akteure geben etwa vor, vom Support-Team von Okta zu stammen, zielen in Wahrheit aber darauf ab, die Anmeldedaten der Nutzer zu stehlen und sich Zugang zu den Systemen des Unternehmens zu verschaffen.
  7. Phishing über WhatsApp: Phishing-Nachrichten, die gezielt an indische Nutzer über WhatsApp verschickt werden, fordern die Empfänger auf, eine bösartige Banking- oder Versorgungs-App für Android-Geräte zu installieren, die darauf ausgelegt ist, finanzielle Informationen zu stehlen.

Bedrohungsakteure nutzen häufig globale Ereignisse, um ihre Phishing-Kampagnen effektiver zu gestalten. Sie spielen dabei gezielt auf Dringlichkeit und emotionale Reaktionen an, um Opfer zu manipulieren und zu unbeabsichtigten Handlungen zu verleiten. Zusätzlich registrieren sie Domains mit ereignisspezifischen Schlüsselwörtern, um ihre Täuschung zu untermauern.

„Hochkarätige globale Ereignisse wie Sportmeisterschaften und Produkteinführungen ziehen Cyberkriminelle an, die das öffentliche Interesse ausnutzen wollen“, erklärt Palo Alto Networks Unit 42. „Diese Kriminellen registrieren irreführende Domains, die offiziellen Websites ähneln, um gefälschte Waren zu verkaufen oder betrügerische Dienstleistungen anzubieten.“

Das Unternehmen rät: „Durch die Überwachung wichtiger Indikatoren wie Domainregistrierungen, Textmuster, DNS-Anomalien und Trends bei Änderungsanfragen können Sicherheitsteams Bedrohungen frühzeitig erkennen und abwehren.“

Weitere Artikel:

Beliebte Remote-Desktop-Software AnyDesk gehackt

DarkGate-Malware tarnt sich für versteckte Cyberangriffe

Microsoft SharePoint-Schwachstelle wird aktiv ausgenutzt

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.