E-Mail-Bombing und gefälschte IT-Support-Anrufe befeuern neue Phishing-Angriffe auf Microsoft Teams

Technischer Hintergrund

Die Angreifer nutzen dieses Vertrauen direkt aus. Sobald ein Opfer Hilfe annimmt, wird darum gebeten, Fernzugriff über Tools wie Quick Assist oder AnyDesk zu gewähren.

der Angreifer die volle Kontrolle über das Gerät. Laut dem eSentire Annual Cyber Threat Report 2026 hatten diese Angriffe eine Erfolgsquote von 72 %, wobei die Aktivität zwischen 2024 und 2025 stark zugenommen hat.

Gruppen wie Scattered Spider, Payouts King und UNC6692 wurden alle mit Variationen dieser Technik in Verbindung gebracht. Die Infrastruktur hinter diesen Angriffen ist nicht improvisiert.

Die meisten bösartigen Teams-Nachrichten stammen, darunter

Die meisten bösartigen Teams-Nachrichten stammen, darunter NKtelecom INC, WorkTitans B.V., Global Connectivity Solutions LLP und GWY IT PTY LTD. Es wurden einzelne IP-Adressen beobachtet, die gleichzeitig mehrere Organisationen ins Visier nehmen, was auf organisierte, infrastrukturgestützte Operationen hindeutet.

Wie der Angriff nach Erteilung des Zugriffs abläuft Sobald Fernzugriff hergestellt ist, beginnt der eigentliche Schaden. In mehreren beobachteten Fällen lädt Angreifer portable Versionen offizieller Website herunter und nutzen das Tool, um Dateien leise entfernen.

WinSCP ist eine legitime Dateiübertragungsanwendung, was es schwieriger macht, sie durch Standard-Sicherheitskontrollen zu erkennen. Durch die Nutzung echter, vertrauenswürdiger Software für böswillige Zwecke verringern Angreifer die Wahrscheinlichkeit, sofortige Warnungen auszulösen.

Technik und Auswirkungen

In einem separaten Vorfall nutzten Bedrohungsakteure Quick Assist, um eine bösartige ZIP-Datei mit dem Namen Email-Deployment-Process-System.zip auf die Zielmaschine zu übertragen. Das Archiv enthielt ein Java-Binary, das eine bösartige Java-Anwendung ausführte, gefolgt.

Dieser Ansatz zeigt, wie Angreifer Techniken schichten, um Verteidigungsmechanismen zu umgehen. Sie nutzen vertrauenswürdige Fernzugriffswerkzeuge für den Eintritt und scheinbar legitime Dateinamen, um während der Übertragung keinen Verdacht zu erregen.

Sicherheitsteams und Mitarbeiter können mehrere Schritte unternehmen, um das Risiko dieser Angriffe zu verringern.

Technik und Auswirkungen

Microsoft Teams sollte so konfiguriert werden, dass Nachrichten und Anrufe änkt werden, es sei denn, dies ist für den Geschäftsbetrieb erforderlich, und alle erlaubten externen Kontakte sollten auf verifizierte, vertrauenswürdige Partner beschränkt werden.

Externe Kollaborationsrichtlinien sollten Senderbenachrichtigungen enthalten, damit Benutzer wissen, wann sie mit jemandem außerhalb der Organisation sprechen. Fernzugriffswerkzeuge wie Quick Assist, AnyDesk und ConnectWise sollten durch Richtlinien blockiert werden, es sei denn, dies ist betrieblich notwendig.

Auch Dateiübertragungswerkzeuge wie WinSCP, RClone, FileZilla und MegaSync sollten eingeschränkt werden.

Mitarbeiter müssen darin geschult werden, diese Taktiken zu erkennen und jede unerwartete IT-Anfrage über einen sekundären Kanal zu überprüfen, wie das Anrufen der offiziellen Helpdesk-Nummer, das Senden einer Direkt-E-Mail oder das Erstellen eines Tickets über ein internes System.