Sicherheitsforscher von Palo Alto Networks Unit 42 entdeckten am Montag eine Kampagne, bei der Kriminelle per Sprachanruf den IT-Support simulieren und die Schadsoftware EtherRAT verteilen. Das Besondere: Der Schädling nutzt die Blockchain-Technologie zur Steuerung der infizierten Rechner.
So läuft der mehrstufige Angriff ab
Die Attacke beginnt mit einer harmlos wirkenden E-Mail. Die Täter locken ihre Opfer mit einer angeblichen Mitarbeiterumfrage – als Anhang dient eine manipulierte PDF-Datei. Wer die Datei öffnet, erhält kurz darauf einen Anruf über Microsoft Teams. Die Forscher identifizierten mindestens ein Konto mit dem Namen helpdesk@Progressive936.onmicrosoft.com.
Während des Gesprächs überzeugen die Angreifer ihre Opfer, den Bildschirm zu teilen und die Fernsteuerung zuzulassen. Ist das geschafft, installieren die Kriminellen zunächst legitime Fernwartungstools wie AnyDesk oder HopToDesk. Diese Programme dienen als Brücke, um von einem externen Server einen schädlichen Installer herunterzuladen. Die Analyse zeigt: Auf dem Server lagerten neun verschiedene Versionen des Installers – ein klares Zeichen für die aktive Weiterentwicklung der Malware.
Der finale Schädling EtherRAT basiert auf Node.js. Bei der Installation lädt das System zunächst eine Node.js-Laufzeitumgebung herunter, die dann den Schädling entschlüsselt und ausführt.
Blockchain als Schutzschild für Kriminelle
Der technisch raffinierte Kern von EtherRAT liegt in seiner Steuerungsinfrastruktur. Statt auf klassische Server zu setzen, nutzt die Malware Ethereum-Smart-Contracts. Diese dezentrale Blockchain-Technologie macht es für Sicherheitsbehörden nahezu unmöglich, die Kommandozentrale einfach abzuschalten.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam vor Manipulationstaktiken wie CEO-Fraud schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen
Die Kampagne reiht sich in einen besorgniserregenden Trend ein. Erst kürzlich warnte Google vor einer ähnlichen Gruppe namens UNC6692, die mit einer eigenen Schadsoftwaresuite namens Snow ebenfalls Teams-Nutzer ins Visier nimmt. Snow enthält Werkzeuge für Browser-Persistenz, WebSocket-Tunnel und vollständigen Fernzugriff.
Microsoft 365 im Visier: Neue Phishing-Methoden
Parallel zu den Teams-Angriffen beobachten Sicherheitsexperten weitere raffinierte Attacken auf Microsofts Ökosystem. Zwischen April und Mitte Mai 2026 nutzten Angreifer den sogenannten Microsoft Device Code Flow, um die Zwei-Faktor-Authentifizierung zu umgehen.
Die Opfer erhielten eine passwortgeschützte PDF und wurden auf ein gefälschtes Portal gelotst. Dort sollten sie einen Einmalcode in die legitime Microsoft-Anmeldeseite eingeben – was den Angreifern Zugriffstoken verschaffte. Ohne jemals das Passwort zu kennen, konnten die Kriminellen E-Mails lesen, Dateien von OneDrive und SharePoint herunterladen und Teams-Gespräche mitverfolgen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor es zu spät ist. Kostenlosen Cyber-Security-Ratgeber sichern
Forscher von Cisco Talos entdeckten zudem ein neues Phishing-Toolkit namens ARToken, das diesen Prozess automatisiert. Das Toolkit umfasst über 80 Funktionen zur Verwaltung gestohlener Token und zum Zugriff auf Firmenpostfächer.
Microsoft reagiert mit Schutzmaßnahmen
Angesichts der zunehmenden Angriffe über Teams hat Microsoft nachgebessert. Neue Funktionen kennzeichnen externe Anrufer deutlicher, warnen Nutzer und verschärfen die Wartebereichs-Regeln für Besprechungen. Unbefugte Bots oder externe Konten sollen so keinen Zugang zu sensiblen Sitzungen mehr erhalten.
Die Sicherheitsbranche beobachtet derweil weitere gefährliche Entwicklungen. Eine chinesische Gruppe setzte im Mai 2026 eine gefälschte indische Steuererklärungs-Software ein, um den Schädling DCRat zu verbreiten. Die Hackergruppe SilverFox aktualisierte zudem ihre ValleyRAT-Malware um Kernel-Mode-Rootkit-Funktionen und Module zur Deaktivierung von Antivirenprogrammen – gezielt gegen Kryptowährungs-Wallets und Telegram-Daten.
Branchenexperten warnen: Die Kombination aus Social Engineering per Sprachanruf und dezentraler Steuerungsinfrastruktur markiert einen Wendepunkt in der Bedrohungslandschaft. Unternehmen müssen ihre Mitarbeiter dringend für diese neue Angriffsform sensibilisieren.

