Microsoft, Teams

Microsoft Teams: Hacker geben sich als IT-Support aus

Veröffentlicht: 08.07.2026 um 14:32 Uhr, Redaktion boerse-global.de

Kriminelle nutzen Microsoft Teams und EtherRAT-Trojaner für gezielte Angriffe auf Unternehmensnetzwerke.

Neue Hacker-Masche: Teams-Anrufe als IT-Support kapern Firmenrechner
Microsoft - Person in Kapuzenjacke tippt auf Laptop, mit leuchtendem Netzwerk-Overlay und unscharfem Microsoft Teams-Logo im Hintergrund, symbolisiert Cyber-Bedrohungen. 08.07.2026 - Bild: über boerse-global.de

Hacker geben sich als IT-Support aus und kapern Firmenrechner – eine neue Generation von Social-Engineering-Attacken setzt auf vertraute Tools.

Sicherheitsforscher schlagen Alarm: Im Juli 2026 häufen sich Angriffe, bei denen Kriminelle über Microsoft Teams telefonisch Kontakt zu Mitarbeitern aufnehmen und sich als Systemadministratoren ausgeben. Ziel ist es, Fernzugriffs-Tools zu installieren und Unternehmensnetzwerke zu kompromittieren. Die Kampagnen kombinieren Phishing-Mails mit gezielten Voice-Calls – eine perfide Masche, die selbst vorsichtige Angestellte in die Falle lockt.

EtherRAT: Trojaner per Ethereum-Smart-Steuerung

Im Zentrum der aktuellen Bedrohungslage steht EtherRAT, ein auf Node.js basierender Trojaner für den Fernzugriff. Die Angriffskette beginnt mit einer harmlos wirkenden E-Mail – angeblich eine Umfrage-Benachrichtigung mit einem PDF-Anhang. Doch das ist nur der Auftakt.

Kurz darauf klingelt Microsoft Teams: Ein Anrufer mit einer externen Adresse wie „helpdesk@Progressive936.onmicrosoft.com" gibt sich als IT-Mitarbeiter aus. Er überredet das Opfer, die Kontrolle über den Rechner zu übergeben und legitime Tools wie AnyDesk oder HopToDesk zu installieren. Sobald der Angreifer Zugriff hat, lädt er im Hintergrund den schädlichen Installer nach.

Besonders perfide: EtherRAT nutzt Ethereum-Smart-Contracts, um seine Kommandozentrale zu verstecken. Die C2-Server-Adressen werden dezentral über die Blockchain abgerufen – eine Methode, die klassische Sicherheitslösungen leicht übersehen. Die jüngste Version des Trojaners stammt vom 26. Juni 2026.

Anzeige

Die hier beschriebenen Methoden zeigen, wie gezielt Hacker psychologische Schwachstellen ausnutzen, um technische Hürden zu umgehen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie Sie solche Manipulationsversuche rechtzeitig entlarven. Diese 7 psychologischen Schwachstellen jetzt entdecken

DenoGate und Device-Code-Phishing

Parallel dazu entdeckten Analysten von eSentire TRU eine Kampagne gegen den Einzelhandel, die ebenfalls auf Microsoft Teams setzt. Die Angreifer überschütten ihre Opfer zunächst mit einer Flut von E-Mails (Email Bombing), um dann als hilfsbereiter IT-Support anzurufen. Das Ziel: die Installation von DenoGate, einer Schadsoftware auf Basis von JavaScript-Modulen, die Systemdaten sammelt und sich über Registry-Einträge dauerhaft einnistet.

Eine weitere Variante kommt von der Gruppe ZeroBEC. Sie missbraucht den sogenannten Device-Code-Flow von Microsoft. Opfer erhalten eine Phishing-Nachricht, die sie auffordert, einen Code auf der echten Microsoft-Anmeldeseite einzugeben. Sobald das geschieht, kapern die Angreifer die Zugriffstokens des Microsoft-365-Kontos.

Fake-Installers: Der 7-Zip-Trick

Doch nicht nur Kommunikationsplattformen werden missbraucht. Hinter dem Schlagwort Lurking Lizard verbirgt sich ein Netzwerk, das gefälschte 7-Zip-Installationsprogramme auf Tippfehler-Domains anbietet. Wer darauf hereinfällt, macht seinen Rechner unwissentlich zu einem Teil eines Residential-Proxy-Netzwerks.

Die Operation steht in Verbindung mit der App WireVPN, die im Google Play Store über eine Million Mal heruntergeladen wurde. Die Ermittler fanden mehr als 230 dazugehörige Domains und Spuren, die nach Wuhan in China führen. Die Malware installiert ausführbare Dateien in Systemverzeichnissen und legt Firewall-Ausnahmen an – der Rechner wird zum Proxy-Server umfunktioniert.

Anzeige

Da immer mehr Unternehmen Opfer solch komplexer Angriffe werden, ist eine proaktive Absicherung der gesamten IT-Infrastruktur unerlässlich. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig die neuesten gesetzlichen Anforderungen an den Datenschutz erfüllen. IT-Sicherheit ohne teure Investitionen stärken

Der Fall erinnert an die Zerschlagung des NetNut-Proxy-Netzwerks durch FBI und Google. Jenes Netzwerk soll aus rund zwei Millionen Geräten bestanden haben, die ohne Wissen der Besitzer in IoT-Geräte und Streaming-Boxen integriert waren.

Router als Einfallstor: Die LONGLEASH-Malware

Neben Social Engineering setzen einige Gruppen auf technische Lücken. Die China-verbundene Gruppe UAT-7810 hat mit LONGLEASH eine Malware entwickelt, die gezielt ungepatchte Router von Ruckus und ASUS angreift.

Die Angreifer nutzen bekannte Sicherheitslücken wie CVE-2020-22653, CVE-2020-22658 und CVE-2023-25717 bei Ruckus sowie CVE-2025-2492 in ASUS AiCloud. Kompromittierte Router werden in sogenannte ORB-Netzwerke (Operational Relay Box) eingebunden. Diese unterstützen verschiedene Proxy-Protokolle und Reverse Shells – die Basis für weitere Angriffe ins Unternehmensnetz.

Was bedeutet das für Unternehmen? IT-Abteilungen sollten ihre Mitarbeiter dringend für diese neue Masche sensibilisieren: Kein IT-Support wird jemals unaufgefordert per Teams anrufen und nach Fernzugriff fragen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69723636 |