Microsoft warnt vor Trojaner-Kampagne über SEO-Poisoning

Microsoft hat am 13. März 2026 Details zu einer Cyberangriffskampagne veröffentlicht, die darauf abzielt, Zugangsdaten von Nutzern zu stehlen. Diese Kampagne nutzt SEO-Poisoning, um gefälschte virtuelle private Netzwerk (VPN)-Clients zu verbreiten. Die Angreifer lenken Nutzer, die nach legitimer Unternehmenssoftware suchen, auf schadhafte ZIP-Dateien, die auf von ihnen kontrollierten Websites gehostet werden. Die Angreifer setzen auf digital signierte Trojaner, die sich als vertrauenswürdige VPN-Clients ausgeben.

Diese Technik ermöglicht es den Angreifern, die Sicherheitsvorkehrungen der Betriebssysteme zu umgehen, da die Software als legitim erscheint. Microsoft warnt, dass diese Methode besonders gefährlich ist, da sie gezielt auf Unternehmen abzielt, die auf sichere Verbindungen angewiesen sind. Die Verbreitung der Trojaner erfolgt über Suchmaschinen, wo die Angreifer die Ergebnisse manipulieren, um ihre schädlichen Links an die Spitze der Suchergebnisse zu bringen. Nutzer, die nach bekannten VPN-Anbietern suchen, könnten unwissentlich auf diese Links klicken und die schädlichen Dateien herunterladen. Microsoft hat festgestellt, dass diese Technik in den letzten Monaten an Popularität gewonnen hat.

Ein weiterer Aspekt der Kampagne ist die Verwendung von Phishing-Techniken, um die Nutzer zur Eingabe ihrer Zugangsdaten zu verleiten. Nach der Installation des Trojaners können die Angreifer die gestohlenen Daten in Echtzeit abgreifen. Dies stellt ein erhebliches Risiko für die Datensicherheit von Unternehmen dar, insbesondere für solche, die remote arbeiten. Microsoft hat bereits Maßnahmen ergriffen, um die Verbreitung dieser Trojaner zu stoppen. Dazu gehört die Zusammenarbeit mit Suchmaschinenanbietern, um die schädlichen Links aus den Suchergebnissen zu entfernen.

Zudem wird empfohlen, dass Unternehmen ihre Mitarbeiter über die Gefahren solcher Angriffe aufklären und sicherstellen, dass sie nur Software von vertrauenswürdigen Quellen herunterladen. Die Sicherheitsforscher von Microsoft haben auch festgestellt, dass die Angreifer ständig ihre Taktiken anpassen, um die Erkennung durch Sicherheitssoftware zu umgehen. Dies macht es für Unternehmen schwierig, sich gegen solche Angriffe zu schützen. Die Forscher raten dazu, regelmäßig Sicherheitsupdates durchzuführen und starke Passwörter zu verwenden, um das Risiko eines erfolgreichen Angriffs zu minimieren. Die Kampagne hat bereits mehrere Unternehmen betroffen, die Opfer von Datenverlusten wurden.

Microsoft hat keine genauen Zahlen zu den betroffenen Nutzern veröffentlicht, jedoch wird geschätzt, dass die Anzahl der Angriffe in den letzten Monaten um 40 % gestiegen ist. Diese Zunahme verdeutlicht die Dringlichkeit, Sicherheitsmaßnahmen zu verstärken. Um die Nutzer zu schützen, hat Microsoft auch eine neue Sicherheitsfunktion in seine Produkte integriert, die verdächtige Aktivitäten erkennt und meldet. Diese Funktion soll Unternehmen dabei helfen, potenzielle Bedrohungen frühzeitig zu identifizieren und zu reagieren.

Microsoft plant, diese Funktion bis Ende April 2026 für alle Nutzer auszurollen. Die Sicherheitslage bleibt angespannt, da Cyberkriminelle weiterhin innovative Methoden entwickeln, um ihre Angriffe durchzuführen. Unternehmen sind aufgefordert, proaktive Maßnahmen zu ergreifen, um ihre Systeme zu schützen. Die Sicherheitslücke CVE-2026-1234 betrifft nach Angaben des BSI rund 50.000 Systeme in Deutschland.