Microsoft Teams: Kriminelle schleusen EtherRAT über Fake-IT-Support
Veröffentlicht: 07.07.2026 um 21:38 Uhr, Redaktion boerse-global.de
Die Täter geben sich als IT-Support aus.
So funktioniert der perfide Angriff
Die Sicherheitsexperten von Palo Alto Networks Unit 42 haben eine ausgeklügelte Social-Engineering-Kampagne aufgedeckt. Die Angreifer setzen auf eine mehrstufige Täuschung: Zunächst erhalten Mitarbeiter eine Phishing-Mail, die angeblich eine Mitarbeiterumfrage enthält. Der beigefügte PDF-Anhang wirkt auf den ersten Blick seriös.
Doch das ist erst der Anfang. Kurz nachdem das Opfer die Datei geöffnet hat, klingelt das Telefon – über Microsoft Teams. Am anderen Ende: ein angeblicher Systemadministrator. In den beobachteten Fällen nutzten die Täter die Adresse helpdesk@Progressive936.onmicrosoft[.]com. Obwohl Teams externe Anrufer mit dem Hinweis „Extern – unbekannt“ kennzeichnet, setzen die Angreifer auf die Dringlichkeit des IT-Support-Szenarios.
Der Weg zur Schadsoftware
Während des Telefonats überreden die Kriminellen ihre Opfer, die Bildschirmfreigabe zu aktivieren. Einmal im System, installieren sie legitime Fernwartungstools wie HopToDesk oder AnyDesk. Diese Programme nutzen die Angreifer dann, um den eigentlichen Schädling nachzuladen: eine Installationsdatei namens „v7.msi“.
Diese Datei entpuppt sich als EtherRAT – ein sogenannter Remote Access Trojaner, der erstmals 2023 dokumentiert wurde. Das Besondere: Die Schadsoftware wurde mit Node.js entwickelt und nutzt Ethereum-Smart-Contracts für ihre Kommando- und Kontrollinfrastruktur. Eine raffinierte Methode, um die Kommunikation mit den Angreifern zu verschleiern.
Was EtherRAT alles kann
Die perfide EtherRAT-Kampagne zeigt: Ein einziger unbedachter Klick kann Ihr gesamtes Netzwerk gefährden. Dieser Leitfaden liefert Ihnen die wichtigsten Schutzmaßnahmen – von Teams-Einstellungen bis zur Mitarbeiter-Sensibilisierung. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Einmal installiert, gewährt der Trojaner den Angreifern weitreichende Kontrolle:
- Tastatureingaben protokollieren und Bildschirmfotos erstellen
- Vertrauliche Dateien aus dem Unternehmen schleusen
- Webcam und Mikrofon des Opfers aktivieren
- Beliebige Befehle auf dem infizierten System ausführen
Die Sicherheitsforscher fanden zudem heraus, dass der Schädling speziell Node.js Version 18.20.5 herunterlädt, um seine Komponenten auszuführen. Um dauerhaft im System zu bleiben, schreibt sich EtherRAT in die Windows-Registrierung ein. Ein offenes Verzeichnis mit mehreren Versionen der Installationsdateien (v1 bis v9) deutet darauf hin, dass die Angreifer ihre Methoden ständig weiterentwickeln.
Schutzmaßnahmen für Unternehmen
Die aktuelle Kampagne erinnert an ähnliche Angriffe aus dem März, bei denen Kriminelle die Windows-Funktion Quick Assist missbrauchten, um die Hintertür-Schadsoftware A0Backdoor zu installieren.
Microsoft hat mittlerweile reagiert und neue Sicherheitsfunktionen eingeführt: verbesserte Warnhinweise für externe Anrufer sowie eine Bot-Lobby-Richtlinie, die unbefugte Teilnehmer von Konferenzen fernhalten soll.
Ihre Mitarbeiter sind die erste Verteidigungslinie – doch ohne klare Regeln werden sie zur Einfallspforte. Der Leitfaden zeigt, wie Sie mit wenigen Schritten Social-Engineering-Angriffe über Teams unterbinden. Teams-Sicherheits-Checkliste jetzt sichern
Doch die beste Technik nützt wenig ohne wachsame Mitarbeiter. Experten empfehlen IT-Administratoren daher:
- Externe Kommunikationsfunktionen auf vertrauenswürdige Domains beschränken
- Bildschirmfreigabe und Sprachanrufe nur dort aktivieren, wo sie wirklich benötigt werden
- Meldefunktionen für verdächtige Kontakte bereitstellen
- Regelmäßige Schulungen: Mitarbeiter sollten unangekündigte IT-Anrufe immer über offizielle Kanäle gegenprüfen
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
