Vorsicht vor dem neuen Phishing-Betrug. “DarkGate Loader” greift MS-Teams an.
Wenn Sie Microsoft Teams verwenden, sollten Sie auf der Hut sein. Es gibt einen neuen Phishing-Betrug, der versucht, Ihre Daten zu stehlen und Ihr System mit Schadsoftware zu infizieren. Der Betrug nennt sich “DarkGate Loader” und wird über eine gefälschte Nachricht verbreitet, die einen Link zu angeblichen “Änderungen im Urlaubsplan” enthält. Aber lassen Sie sich nicht täuschen: Dieser Link führt Sie zu einer schädlichen SharePoint-URL, die eine .ZIP-Datei herunterlädt, die ein infiziertes VBScript enthält. Wenn Sie diese Datei öffnen, kann die Malware Ihren Computer übernehmen und weitere Angriffe ausführen.
Wie funktioniert der Betrug?
Der Betrug nutzt eine raffinierte Taktik, um die Benutzer dazu zu bringen, auf den Link zu klicken. Die Nachricht sieht aus wie eine normale Teams-Nachricht von einem Kollegen oder Vorgesetzten, die Sie über Änderungen im Urlaubsplan informiert. Der Link erweckt den Eindruck, eine legitime SharePoint-URL zu sein, die zu einem Dokument führt, das Sie öffnen sollen. Aber in Wirklichkeit handelt es sich um eine LNK-Datei (Windows-Verknüpfung), die ein VBScript ausführt, das in der Mitte der Datei versteckt ist. Das Sicherheitsteam von Truesec hat diesen Betrug entdeckt und analysiert.
Das VBScript kann überprüfen, ob Sie den Antivirus Sophos installiert haben. Wenn nicht, kann es einen zusätzlichen Code einschleusen, um eine sogenannte “stacked strings”-Attacke auszuführen. Das bedeutet, dass es einen Shellcode öffnet, der eine ausführbare DarkGate-Datei in den Arbeitsspeicher Ihres Systems lädt. Diese Datei ist ein gefährlicher Schadcode, der verschiedene Funktionen hat, wie z.B. das Stehlen von Passwörtern, das Verschlüsseln von Dateien oder das Installieren von weiterer Malware.
Wie können Sie sich schützen?
Microsoft selbst hat in seinen Lizenzpaketen häufig den „Defender for Office 365 (Plan1)“ enthalten. Ein wesentlicher Bestandteil dieses Schutzes ist „Safe Links„, eine nützliche Sicherheitsfunktion des Microsoft Defender for Office 365, die Ihnen in E-Mails und Teams-Nachrichten unbemerkt zusätzlichen Schutz bietet.
So funktioniert’s:
Safe Links überprüft automatisch Links in Ihren E-Mails und Teams-Nachrichten in Echtzeit, um festzustellen, ob sie sicher sind. Wenn ein verdächtiger Link erkannt wird, leitet Safe Links ihn über seine eigenen Server um, um zu überprüfen, ob er gefährlich ist, bevor Sie die Zielseite öffnen.
Diese Funktion schützt Sie vor potenziell gefährlichen Websites, die in E-Mails oder Teams-Nachrichten versteckt sein könnten. Sie können Ihre Nachrichten und E-Mails weiterhin wie gewohnt öffnen und lesen, während Safe Links im Hintergrund für Ihre Sicherheit sorgt.
Anwenderinnen und Anwender mit folgenden Lizenzen verfügen über den Defender for Office (Plan1):
- Microsoft Office E5
- Microsoft 365 Business Premium
- Microsoft 365 Frontline F5 Security
- Microsoft 365 Frontline F5 Security + Compliance
- Microsoft 365 Enterprise E5
- Microsoft 365 Enterprise E5 Security
- Microsoft 365 Education A5
- Microsoft 365 Education A5 Security
Allen anderen Lizenznutzern raten wir den zusätzlichen Erwerb der Lizenz „Defender for Office 365 (Plan1)„. Damit schließen Sie die Lücke für den neuen Angriffsvektor. Wir beraten Sie gerne umfassend.
Um sich generell vor Phishing-Betrug zu schützen, sollten Sie folgende Sicherheitsratschläge befolgen:
- Öffnen Sie auch in Microsoft Teams keine Links oder Anhänge von unbekannten oder verdächtigen Absendern.
- Überprüfen Sie immer die URL eines Links, bevor Sie darauf klicken. Wenn Sie Zweifel haben, fragen Sie den Absender nach der Quelle oder dem Zweck des Links.
- Öffnen Sie keine .ZIP-Dateien, die nicht von einem guten Virenschutz geprüft wurden.
- Aktualisieren Sie Ihre Antivirensoftware regelmäßig und führen Sie regelmäßig Scans durch.
- Erstellen Sie regelmäßig Backups Ihrer wichtigen Dateien und speichern Sie sie an einem sicheren Ort.
- Melden Sie verdächtige Nachrichten oder Aktivitäten an Ihre IT-Abteilung oder unserer Hotline unter +492305358325.
Auch wenn dieser Betrug bisher nur auf Englisch verbreitet wurde, sollten wir in Deutschland aufpassen. Denn es kann sein, dass es nicht lange dauert, bis auch deutschsprachige Texte versendet werden. Seien Sie also wachsam und lassen Sie sich nicht von “DarkGate Loader” der MS-Teams angreift erwischen.