Microsoft, Teams

Microsoft Teams: Vishing-Welle schleust EtherRAT in Netzwerke

Veröffentlicht: 16.07.2026 um 18:36 Uhr, Redaktion boerse-global.de

Angreifer nutzen Microsoft Teams für Vishing-Angriffe und setzen auf Schadsoftware wie EtherRAT. Auch Group Pink und PhaaS-Plattformen bedrohen Unternehmen.

Vishing-Welle über Microsoft Teams: So schützen Sie Ihr Unternehmen
Verschwommene Gestalt in Kapuzenjacke tippt auf Laptop, im Hintergrund unscharfer Microsoft-Teams-Anruf, symbolisiert Vishing-Angriff. Illustration mit AI erstellt übermittelt durch boerse-global.de

Eine aktuelle Welle von Vishing-Angriffen setzt auf Microsoft Teams, um Schadsoftware in Unternehmensnetzwerke einzuschleusen. Die Angreifer geben sich als IT-Support aus.

So läuft der Angriff ab

Die Kette beginnt mit einer Phishing-Mail, die ein PDF-Dokument enthält. Sobald das Opfer darauf reagiert, folgt ein Anruf über Microsoft Teams. Die Sicherheitsforscher identifizierten die Adresse helpdesk@Progressive936.onmicrosoft.com als Quelle dieser betrügerischen Anrufe.

Am Telefon geben sich die Kriminellen als Mitarbeiter der IT-Abteilung aus. Ihr Ziel: Das Opfer zur Installation einer Fernwartungssoftware zu bewegen. Zum Einsatz kommen dabei legitime Tools wie AnyDesk und HopToDesk, kombiniert mit einem Node.js-Loader, der letztlich den EtherRAT-Schädling auf dem System platziert.

Die Angreifer nutzen neun verschiedene Varianten von MSI-Installationspaketen (v1 bis v9). Betroffen sind vor allem Unternehmen, die in Microsoft Teams externe Kommunikation zugelassen haben.

Gruppe Pink zielt auf Microsoft-365-Konten

Die Teams-Kampagne ist Teil einer größeren Entwicklung. Eine als Group Pink bekannte Hackergruppe gibt sich derzeit als Microsoft-Passkey-Anmeldeprozess aus. Ihr Ziel: Anmeldedaten abgreifen.

Die Gruppe setzt dabei auf ein Phishing-Kit, das in Echtzeit originalgetreue Anmeldeseiten erzeugt. Der Sicherheitsdienstleister Okta dokumentierte diese Aktivitäten offiziell.

Anzeige

Angreifer nutzen immer raffiniertere Methoden wie gefälschte Anmeldeseiten, um an Ihre Zugangsdaten zu gelangen. Dieser kostenlose PDF-Ratgeber zeigt Ihnen, wie Sie Passkeys bei Microsoft und anderen Diensten sicher einrichten und sich effektiv vor Datenklau schützen. Jetzt kostenlosen Passkey-Report herunterladen

FBI warnt vor Phishing-as-a-Service

Das FBI schlug am heutigen Donnerstag Alarm: Eine spezialisierte Plattform namens Kali365 bietet Angreifern Phishing als Dienstleistung an. Das System missbraucht den Microsoft-OAuth-2.0-Geräteautorisierungs-Fluss.

Die Gefahr: Kali365 kann sowohl Passwörter als auch die Zwei-Faktor-Authentifizierung (MFA) umgehen. Ein sogenannter „Adversary-in-the-Middle"-Modus namens „Cookie Link" macht dies möglich.

Parallel dazu beobachten Forscher die Plattform Kratos PhaaS. Seit Januar 2026 verzeichnete das System über 1.600 Sandbox-Sitzungen. Rund 1.365 davon führten zu gefälschten Microsoft-Anmeldeseiten. Kratos ist seit September 2025 aktiv, nutzt Cloudflare Turnstile zur Umgehung automatisierter Scanner und fängt Daten über mehrfach verschleierte JavaScript- und PHP-Endpunkte ab.

Anzeige

Ob CEO-Fraud oder manipulierte Anmeldeseiten – Hacker nutzen gezielt psychologische Schwachstellen aus, um Sicherheitssysteme zu umgehen. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten gegen moderne Cyberkriminalität absichern. Kostenloses Anti-Phishing-Paket sichern

Trojanisierte Software als Einfallstor

Neben den Vishing-Kampagnen setzen weitere Angreifer auf manipulierte Installationsdateien beliebter Kommunikationssoftware. Die russlandnahe Gruppe UAT-11795 verteilt den Schädling Starland RAT über modifizierte Installer von Zoom, WebEx und MobaXterm.

Die Kampagne läuft seit Juni 2025 und zielt auf Nutzer in den USA, Deutschland, Rumänien und Venezuela. Starland RAT kann Daten aus über 40 verschiedenen Kryptowährungs-Wallets stehlen, dazu Browserinformationen und Active-Directory-Daten. Besonders raffiniert: Die Malware nutzt Polygon-Blockchain-Smart-Contracts als Ausweichmechanismus für ihre Kommando-Infrastruktur.

ServiceNow schloss unterdessen eigene Sicherheitslücken. Am Mittwoch veröffentlichte das Unternehmen einen Patch für eine kritische Sandbox-Escape-Schwachstelle in seiner KI-Plattform.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69781565 |