Gefälschte Meeting-Einladungen: Cyberkriminelle missbrauchen Zoom, Teams und Google Meet

Cyberkriminelle setzen derzeit auf eine neue Angriffsmethode, die das Vertrauen in etablierte Videokonferenz-Plattformen ausnutzt. Mit täuschend echten Meeting-Einladungen und vorgeblichen Software-Updates verschaffen sich Angreifer Zugang zu Unternehmenssystemen. Die Netskope Threat Labs dokumentieren mehrere aktive Kampagnen dieser Art.

Täuschung durch vertraute Plattformen

Sicherheitsforscher von Netskope Threat Labs registrieren aktuell mehrere Angriffswellen, bei denen Kriminelle gefälschte Besprechungslinks für Zoom, Microsoft Teams und Google Meet versenden. Die Masche zielt gezielt auf Mitarbeiter in Unternehmen ab.

Die Angreifer leiten ihre Opfer auf präparierte Webseiten mit ähnlich klingenden Domainnamen wie zoom-meet.us um. Dort werden die Nutzer aufgefordert, angeblich erforderliche Software-Aktualisierungen zu installieren, um am Meeting teilnehmen zu können.

Grafik Quelle: Netskope

Legitimierte Fernwartungssoftware als Werkzeug

Hinter den vermeintlichen Updates verbergen sich jedoch professionelle Remote-Management-Programme wie Datto RMM, LogMeIn oder ScreenConnect. Diese Anwendungen sind mit digitalen Signaturen versehen und erwecken den Anschein legitimer Software.

Durch die Installation erhalten die Angreifer vollständigen administrativen Zugriff auf die betroffenen Rechner. Von dort aus können sie Unternehmensdaten abgreifen oder weitere Schadsoftware einschleusen.

Dreistufige Angriffsstrategie

Phase 1: Täuschend echte Landing-Pages

Die Phishing-Seiten imitieren das Erscheinungsbild authentischer Konferenz-Plattformen bis ins Detail. Teilweise werden sogar Listen mit vermeintlich bereits anwesenden Meeting-Teilnehmern angezeigt, um die Glaubwürdigkeit zu steigern.

Phase 2: Druck durch Dringlichkeit

Beim Versuch, dem Meeting beizutreten, erscheint eine Meldung über veraltete oder inkompatible Software. Die Nutzer werden angewiesen, zunächst das bereitgestellte Update zu installieren. Manche Seiten enthalten sogar detaillierte Anleitungen für den Installationsvorgang.

Phase 3: Getarnte Schadsoftware

Die heruntergeladenen Dateien tragen Namen wie GoogleMeeet.exe oder ZoomWorkspaceinstallersetup.msi. Tatsächlich handelt es sich um Installationsprogramme für Fernwartungs-Tools. Da diese Software digital signiert ist und in vielen Unternehmen regulär eingesetzt wird, umgeht sie häufig signaturbasierte Sicherheitssysteme.

Weitreichende Folgen nach erfolgreicher Infiltration

Mit den installierten Remote-Management-Tools stehen den Angreifern umfangreiche Möglichkeiten offen. Die legitimen Funktionen dieser Programme – etwa Dateiübertragung, Remote-Zugriff auf die Kommandozeile oder Bildschirmfreigabe – lassen sich für kriminelle Zwecke nutzen.

Die Angreifer können sich unbemerkt im Netzwerk ausbreiten und weitere Systeme kompromittieren. Da die RMM-Software für die Verteilung von Programmen konzipiert ist, eignet sie sich auch zur flächendeckenden Installation von Ransomware oder anderer Malware.

Einschätzung der Bedrohungslage

Die von Netskope Threat Labs dokumentierte Kampagne nutzt gezielt die alltägliche Nutzung virtueller Meetings aus. Die Kombination aus vertrauenswürdigen Plattformen und dem Zeitdruck, an einer Besprechung teilzunehmen, erhöht die Erfolgsquote der Angriffe erheblich.

Durch den Einsatz signierter und weitverbreiteter Verwaltungssoftware anstelle klassischer Malware verschaffen sich die Kriminellen dauerhafte Zugriffsrechte. Diese Position ermöglicht ihnen ein breites Spektrum an nachfolgenden Angriffen – von gezielter Datenexfiltration bis zur unternehmensweiten Verbreitung von Verschlüsselungstrojanern.

Weitere spannende Beiträge:

---