Microsoft, Teams-Angriffe

Microsoft Teams-Angriffe: Hacker infiltrieren Unternehmen in 20 Minuten

04.06.2026 - 17:39:39 | boerse-global.de

Kriminelle nutzen Microsoft Teams und Google Drive für schnelle Unternehmensinfiltration. Die Schadsoftware Nimbus RAT wird in unter 20 Minuten installiert.

Neue Angriffswelle: Hacker kapern Firmen via Teams und Google Drive
Microsoft - Digital representation of a cyber attack, with glowing red lines of code targeting a blurred computer screen showing Microsoft Teams. 04.06.2026 - Bild: über boerse-global.de

Sicherheitsforscher schlagen Alarm: Eine neue Angriffswelle nutzt Microsoft Teams und Google Drive, um Unternehmen binnen Minuten zu infiltrieren. Die Täter geben sich als IT-Support aus und installieren eine Schadsoftware namens Nimbus RAT – in weniger als 20 Minuten.

Perfide Masche: Hilfe vom falschen IT-Experten

Ein konkreter Vorfall bei einer Anwaltskanzlei im April 2026 zeigt, wie raffiniert die Angreifer vorgehen. Zunächst überschwemmten sie das Unternehmen mit 282 E-Mails innerhalb von 90 Minuten – ein regelrechter digitaler Sperrfeuer. Kaum war die Flut auf ihrem Höhepunkt, meldete sich ein angeblicher IT-Mitarbeiter per Microsoft Teams bei einem ahnungslosen Angestellten.

Anzeige

Angesichts der massiv steigenden Zahl von Cyberangriffen auf deutsche Unternehmen ist proaktive Aufklärung der beste Schutz. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken proaktiv schließen und Ihre IT-Infrastruktur effektiv absichern. Experten-Checkliste zur Cyber-Security jetzt kostenlos herunterladen

Die Täter setzten auf sogenanntes Vishing – eine Mischung aus Voice-Phishing und sozialer Manipulation. Ihr Ziel: das Opfer dazu zu bringen, über das legitime Windows-Tool Quick Assist die Bildschirmkontrolle zu übergeben. Sobald sie Zugriff hatten, installierten sie den Nimbus RAT, auch bekannt als BackupBOX. Vom ersten Teams-Kontakt bis zur vollständigen Infektion vergingen weniger als 20 Minuten.

Google-Dienste als Tarnung für Schadcode

Der Nimbus RAT ist eine Java-basierte Schadsoftware mit einer besonders tückischen Eigenschaft: Sie nutzt ganz normale Google-Dienste für ihre Steuerungsbefehle. Über Google Drive und Google Sheets kommuniziert der Trojaner mit seinen Kontrolleuren – verschlüsselt mit der starken RSA-4096-Methode. Das macht ihn für herkömmliche Sicherheitslösungen nahezu unsichtbar, da der Datenverkehr wie legitimer Netzwerkverkehr aussieht.

Doch damit nicht genug. Die Angreifer setzten zusätzlich ein Werkzeug namens InboxSetupPro ein, um sensible Daten abzugreifen. Darunter: Signal-Chat-Verläufe und ein 1,13 Gigabyte großes E-Mail-Archiv, das sie auf ihren eigenen OneDrive-Account hochluden. Der Trojaner kann zudem auf die Kommandozeile zugreifen, Dateien manipulieren, die Registry bearbeiten und Bildschirmfotos erstellen. Sogar gefälschte Windows-Sicherheitsdialoge kann er einblenden, um Passwörter zu stehlen.

Alarmierende Zahlen: Angriffswelle rollt seit Monaten

Die Analyse der Kampagne zeigt einen dramatischen Anstieg der Aktivitäten im vergangenen Jahr. Forscher registrierten 1.540 verdächtige Microsoft-Teams-Interaktionen in 172 verschiedenen Organisationen – und das innerhalb von nur zwölf Monaten. Besonders besorgniserregend: Eine massive Zunahme zwischen Dezember 2025 und März 2026. Im Februar 2026 lag die Aktivität sogar achtmal höher als der normale Durchschnitt.

65 Prozent dieser Angriffe stammen von sogenannten „onmicrosoft.com“-Testmandanten. Diese kostenlosen Testumgebungen nutzen die Täter, um Sicherheitsfilter zu umgehen. Sicherheitsexperten bringen die Kampagne mit bekannten Erpresserbanden in Verbindung – darunter BlackSuit und Black Basta. Auch die Gruppe „Payouts King“, die seit Anfang 2026 verstärkt aktiv ist, setzt auf ähnliche Methoden.

Anzeige

Hacker nutzen psychologische Schwachstellen gezielt aus, um sich Zugang zu Firmendaten zu verschaffen – wie im Fall der aktuellen Microsoft-Teams-Masche. Dieser kostenlose Report enthüllt die neuesten Taktiken der Angreifer und zeigt, wie Sie sich in vier Schritten wirksam schützen. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

Schutzmaßnahmen: Was Unternehmen jetzt tun sollten

Um sich zu schützen, empfehlen Sicherheitsexperten Unternehmen, externe Microsoft-Teams-Nachrichten von Testmandanten grundsätzlich zu blockieren. Zudem sollten verdächtige Java-Prozesse, die aus Systemordnern starten, besonders überwacht werden. Auch der ausgehende Datenverkehr zu Google-Schnittstellen verdient erhöhte Aufmerksamkeit – er könnte auf unerlaubte Steuerungsbefehle hindeuten.

Die Botschaft der Forscher ist klar: Wer sich auf die vermeintliche Sicherheit vertrauter Cloud-Dienste verlässt, spielt den Angreifern direkt in die Hände.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69483546 |