Cyberkriminelle verteilen seit vergangenem Dezember Malware mit gefälschten Downloadseiten für Windows-Software wie Zoom, TeamViewer oder Tableau. Über Suchmaschinen-Spam locken sie ihre Opfer an und schieben ihnen verseuchte Installationspakete unter. Die Angreifer nutzen dabei ein Windows-Feature, das die Bequemlichkeit erhöhen und Software-Installationen ohne Umwege ermöglichen sollte.

Webseitenbetreiber konnten mittels des URL-Schemas "ms-appinstaller:?source=http://example.com/installation.msix" eine Direktinstallation von Windows-Software ohne Umweg über den Download-Ordner auslösen.

Laut Microsoft begann Anfang Dezember eine kriminelle Bande, Suchmaschinenergebnisse für populäre Programme wie TeamViewer, AnyDesk oder Zoom zu manipulieren und eigene Downloadseiten in der Ergebnisliste nach vorn zu bringen. Weiterhin haben die Angreifer Links zu gefälschten OneDrive- und SharePoint-Seiten über Teams-Nachrichten verteilt.

Inzwischen hat Microsoft als Reaktion auf diesen Angriff das URL-Schema "ms-appinstaller" komplett deaktiviert. Webseitenbetreiber werden mittels entsprechender Hilfeseite aufgerufen, ihre Download-Links anzupassen; Nutzer erhalten eine Warnmeldung beim Klick auf einen deaktivierten Link.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE