Ink Drop – shutterstock.com
Durch die zunehmende Verbreitung von Distant-Work geraten Collaboration-Instruments immer wieder in das Visier von Cyberkriminellen. Microsoft entdeckte vor kurzem eine Angriffskampagne der Ransomware-Bande Vanilla Tempest, die auf gefälschten Groups-Installationsprogrammen basiert.
So läuft der Angriff ab
Die Angreifer verwendeten dazu imitierte MSTeamsSetup.exe-Dateien, die auf bösartigen Domains gehostet wurden. Ziel warfare es, ahnungslose Groups-Anwender auf eine gefakte Microsoft-Seite zu locken. Durch einen Klick auf das Groups-Setup wurde ein Loader bereitgestellt, der wiederum eine betrügerisch signierte Oyster-Backdoor bereitstellte. Auf diese Weise sollte die Erpressungssoftware Rhysida ins Spiel gebracht werden.
Nach eigenen Angaben hat Microsoft die Kampagne erstmals Ende September 2025 erkannt, als seine Telemetriedaten eine missbräuchliche Nutzung vertrauenswürdiger Signaturinfrastrukturen aufzeigten. Demnach hatten sich die Angreifer legitime Signaturen durch kompromittierte Signaturdienste verschafft. Zu den betroffenen Zertifizierungsstellen gehörten SSL.com, DigiCert und GlobalSign.
