Teams-Angriffe: Phishing-Anteil springt von 30 auf 42 Prozent
25.06.2026 - 09:30:41 | boerse-global.de
Cyberkriminelle setzen zunehmend auf Kollaborationstools wie Microsoft Teams, um in Unternehmensnetze einzudringen. Die Zahl der Angriffe über diese Kanäle steigt rasant.
Sicherheitsforscher schlagen Alarm: Immer mehr Phishing-Kampagnen nutzen alltägliche Arbeitsmittel wie Microsoft Teams, Outlook oder Kalendereinladungen, um traditionelle Schutzmechanismen zu umgehen. Das Ziel: Ransomware-Erpressung und Datendiebstahl. Besonders besorgniserregend ist die Professionalität der Angreifer, die selbst Multi-Faktor-Authentifizierung (MFA) überlisten.
Teams als Einfallstor: Von gefälschten IT-Mitarbeitern bis zur Hintertür
Die Täter geben sich häufig als IT-Support aus oder verschicken gefälschte Meeting-Benachrichtigungen. Ein Klick auf einen vermeintlichen Teams-Transkript-Link führt die Opfer auf kompromittierte Webseiten – darunter solche von Schulen, Anwaltskanzleien und Arztpraxen. Dort werden schädliche Installationsprogramme heruntergeladen.
Eine Analyse des Sicherheitsanbieters Unit 42 zeigt das Ausmaß: Der Anteil der Phishing-Warnungen aus Kollaborationstools stieg im ersten Drittel des Jahres 2026 von 30 auf 42 Prozent aller Meldungen. Parallel dazu verzeichneten die Forscher einen Anstieg des sogenannten Device-Code-Phishings um 1.380 Prozent – befeuert durch automatisierte Plattformen wie EvilTokens.
Neue Malware-Familien im Umlauf
Die rasant steigenden Angriffe über Microsoft Teams und die Manipulation von Mitarbeitern zeigen, wie wichtig eine gezielte Prävention heute ist. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie psychologische Tricks der Hacker entlarven und Ihr Unternehmen in vier Schritten effektiv absichern. Kostenlosen Leitfaden zur Hacker-Abwehr jetzt herunterladen
Erst am Dienstag griff die Microsoft Digital Crimes Unit (DCU) ein und legte über 200 Kommando- und Kontrollserver (C2) der Schadsoftware-Familien StealC und Amadey lahm. Allein im Mai 2026 hatten diese Netzwerke mehr als 140.000 Computer infiziert.
Besonders perfide: Die Angreifer nutzen signierte Windows-Installer, die legitime Fernwartungssoftware (RMM) enthalten. Diese ist bereits so vorkonfiguriert, dass sie sich mit den Servern der Hacker verbindet – und ihnen die volle Kontrolle über das System gibt. Eine Gruppe namens Woodgnat (auch KongTuke) verbreitet seit April 2026 die „Mistic-Backdoor“. Diese tarnt sich durch sogenanntes DLL-Side-Loading über legitime Microsoft-Defender-Komponenten und bleibt so unerkannt.
Mistic-Backdoor dient als Werkzeug für sogenannte Initial Access Broker – Spezialisten, die sich Zugang zu Netzwerken verschaffen und diesen dann an Erpresserbanden wie Qilin, Akira oder Black Basta weiterverkaufen.
Kalender-Falle und TURN-Trick
Die Sicherheitsforscher von Fortra warnen zudem vor einer Methode namens „CalPhishing“. Dabei werden .ics-Dateien in die Kalender der Opfer eingeschleust, die regelmäßige Erinnerungen auslösen. Jede dieser Erinnerungen enthält einen Link – und damit eine neue Chance für die Angreifer, Zugangsdaten oder Schadsoftware zu platzieren.
Noch einen Schritt weiter geht die am Montag entdeckte Schadsoftware „Backdoor.Turn“. Sie ist der erste bekannte Schädling, der die TURN-Infrastruktur von Microsoft Teams für seine Kommunikation missbraucht. Über die Protokolle QUIC und UDP navigiert die Malware durch legitime Microsoft-Server und kann so nahezu alle Netzwerkfilter umgehen. Einmal im System, führt sie Active-Directory-Aufklärung durch und bewegt sich lateral im Netzwerk.
MFA-Knacken und parallele Einbrüche
Da immer mehr Unternehmen Opfer von hochkomplexen Cyberangriffen und automatisierten Phishing-Kampagnen werden, ist proaktives Handeln für Geschäftsführer unerlässlich. Dieser kostenlose Experten-Report liefert fundierte Informationen zu aktuellen Bedrohungstrends und zeigt, wie Sie Sicherheitslücken ohne hohe Investitionen schließen. Gratis Cyber-Security-Leitfaden für Unternehmen sichern
Die Angreifer werden technisch immer versierter. Die „CodeStorm“-Kampagne nutzt einen sogenannten Adversary-in-the-Middle-Kit (AiTM), der die Benutzeroberfläche dynamisch an das jeweilige Opfer anpasst. So können selbst Sicherheitsmechanismen wie SMS-Codes oder der Microsoft Authenticator ausgehebelt werden.
Ein weiterer Fall: Die Malware „Edgecution“ wird per Social Engineering über Teams eingeschleust. Sie installiert eine schädliche Microsoft-Edge-Erweiterung, die über das Chrome-Native-Messaging-Protokoll auf den Host zugreift. Über WebSockets auf Cloudfront.net kommuniziert sie mit einer Python-Backdoor und führt PowerShell-Befehle aus.
Das Microsoft Detection and Response Team (DART) deckte kürzlich einen besonders krassen Fall auf: In einer einzigen Umgebung waren gleich zwei verschiedene Angreifer gleichzeitig aktiv. Einer von ihnen, Storm-2603, nutzte bekannte Sicherheitslücken in lokalen SharePoint-Servern und sicherte sich den Zugriff über Cloudflare-Tunnel und VS-Code-Remote-SSH.
Was Unternehmen jetzt tun müssen
Angesichts dieser Bedrohungslage raten Sicherheitsexperten zu einem mehrgleisigen Ansatz:
- Patchen, patchen, patchen: Besonders internetzugängliche Systeme wie SharePoint-Server müssen auf dem neuesten Stand sein.
- Kalender im Zaum halten: Externe Kalendereinladungen sollten eingeschränkt, neue Outlook-Gruppen überwacht werden.
- Verhaltensbasierte Erkennung: Statt nur nach bekannten Signaturen zu suchen, sollten Systeme ungewöhnliche Nutzungsmuster von Fernwartungssoftware erkennen.
- Identitätsschutz verschärfen: Die Wiederverwendung von Tokens und Replay-Angriffe müssen aktiv überwacht werden.
- Rechte entziehen: Standardnutzer sollten keine Software installieren dürfen – das verhindert die unautorisierte Installation von RMM-Tools.
Die Botschaft ist klar: Die Angreifer haben ihre Taktik geändert. Unternehmen müssen ihre Verteidigung ebenfalls anpassen – und dürfen sich nicht länger allein auf traditionelle E-Mail-Filter verlassen.
