Microsoft: Cyberkriminelle verbreiten Ransomware per Call Center

Sicherheitsforscher von Microsoft warnen vor einer neuen Masche von Cyberkriminellen, um PCs mit Ransomware zu infizieren. Anrufe aus einem Call Center sollen Nutzer dazu verleiten, einen Malware-Loader zu installieren, der dann die eigentliche Erpressersoftware einschleust.

Die Hintermänner, die Microsoft als BazaCall bezeichnet, sind seit Januar aktiv. Ein Angriff startet in der Regel mit einer herkömmlichen Phishing-E-Mail. Darin wird behauptet, dass in Kürze ein kostenloser Testzeitraum für eine heruntergeladene Software endet – und anschließend ein kostenpflichtiges Abonnement automatisch startet.

Microsoft geht gegen die Gruppe vor, weil sie zuletzt Nutzer von Office 365 ins Visier genommen hat. “Wenn die Empfänger die Nummer anrufen, werden sie von einem betrügerischen Callcenter, das von den Angreifern betrieben wird, angewiesen, eine Website zu besuchen und eine Excel-Datei herunterzuladen, um den Dienst zu kündigen. Die Excel-Datei enthält ein bösartiges Makro, das die Schadsoftware herunterlädt”, erklärte Microsoft.

Die Sicherheitsforscher des Unternehmens fanden auch heraus, dass die Gruppe das Penetrationstest-Tool Cobalt Strike einsetzen, um Anmeldedaten inklusive Active-Directory-Datenbanken zu stehlen. Letzteres stellt eine erhebliche Bedrohung für Unternehmen dar, da sie in der Regel alle Anmeldeinformationen von Mitarbeitern enthält.

Auf einer GitHub-Seite stellt Microsoft zudem öffentlich Details zu seinen Ermittlungen gegen BazaCall bereit. Dort finden sich Beispiele zu den Phishing-E-Mails und schädlichen Excel-Makros. Microsoft informiert dort aber auch darüber, wie die Hacker die Windows NT Directory Services einsetzen, um Active-Directory-Dateien zu stehlen.

Zuletzt hatte sich auch Palo Alto Networks mit BazaCall beschäftigt. Demnach kann die von der Gruppe verbreitete Schadsoftware auch eine Hintertür zu infizierten Windows-Geräten bereitstellen. “Nachdem ein Client infiziert wurde, nutzen Kriminelle diesen Backdoor-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk zu missbrauchen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago