Angreifer nutzen Steuer-Phishing, vorgetäuschte Tools zur Wiederherstellung von Krypto-Wallets und gefälschte Audiodateien, um Kontrolle über PCs zu erlangen.

Highlights:

Angreifer missbrauchen legitime Remote-Zugriff-Tools, die über Phishing-E-Mails zum Steuerjahresende und gefälschte Downloads von Dating-Websites verbreitet werden, um dauerhafte Kontrolle über Geräte zu erlangen.
Gefälschte Tools zur Wiederherstellung von Krypto-Wallets, werden zum Diebstahl von Anmeldedaten und Wallet-Informationen verwendet. Sie bestehen aus Skripten mit vielen Emojis und deuten auf eine zunehmende Nutzung von KI-basiertem »Vibe-Coding« für Angriffe hin.
ClickFix-Kampagnen tarnen Malware als Audiodateien und nutzen realistische CAPTCHA-Aufforderungen sowie gefälschte Websites, um Anwender zur Ausführung von Schadcode zu verleiten.

Der neue Threat Report von HP zeigt: Angreifer setzen vertrauenswürdige Software, getarnte Malware und immer glaubwürdigere Köder ein, um Zugriff auf Geräte zu erlangen [1]. Die Untersuchungsergebnisse unterstreichen eine wachsende Herausforderung für Anwender und Sicherheitsverantwortliche, da böswillige Aktivitäten immer schwerer von legitimem Verhalten zu unterscheiden sind.

Der Threat Report analysiert reale Cyberangriffe. Er unterstützt Unternehmen dabei, mit den neuesten Techniken Schritt zu halten, die Angreifer einsetzen, um in der sich schnell verändernden Cyberkriminalitätslandschaft der Erkennung zu entgehen und PCs zu kompromittieren. Basierend auf Millionen von Endgeräten, auf denen HP Wolf Security¹ läuft, identifizierten die HP Wolf Security Threat Researcher unter anderem folgende Kampagnen:

Legitime Remote-Zugriff-Tools, die für den Backdoor-Zugriff missbraucht werden: Cyberkriminelle missbrauchen Anwendungen wie LogMeIn und ScreenConnect, um die Kontrolle über die Geräte der Opfer zu erlangen, ohne Verdacht zu erregen. Die Kampagnen nutzten zunächst Phishing-E-Mails zum Steuerjahresabschluss sowie gefälschte Downloads von Desktop-Apps – darunter auch Dating-Websites. Damit verleiten sie Nutzer, legitime Tools für den Fernzugriff zu installieren. Diese werden von den Angreifern kontrolliert und ermöglichen es ihnen, sich in normale IT-Aktivitäten einzufügen. So erhalten sie die vollständige Kontrolle über die Geräte der Anwender.
Angreifer nutzen Anwender aus, die versuchen, verlorene Krypto-Wallets wiederherzustellen: Angreifer verbreiten gefälschte Tools zur Wiederherstellung von Krypto-Wallets, die vorgeben, Nutzern bei der Suche nach verlorenen Wallets zu helfen, diese aber stattdessen stehlen. Die Infostealer-Skripte werden oft über Code-Sharing-Plattformen und Medien-Download-Seiten geteilt und sind mit Emojis gespickt. Sie scheinen mittels »Vibe-Coding« entwickelt zu sein und sind in der Lage, Anmeldedaten, Wallet- und Systemdaten zu sammeln, bevor sie diese zur Exfiltration in Archivdateien verpacken.
ClickFix-Kampagnen verstecken Malware in »Audio«-Dateien: Die Angreifer hinter den jüngsten ClickFix-Kampagnen tarnen Malware als Audiodateien, um der Erkennung zu entgehen. Die Opfer werden auf gut gestaltete gefälschte Websites mit realistischen CAPTCHA-Aufforderungen geleitet und verleiten Benutzer dazu unbewusst bösartige Befehle auszuführen, die getarnte Payloads unbemerkt im Hintergrund herunterladen.

Patrick Schläpfer, Principal Threat Researcher, HP Security Lab, kommentiert: »Was bei diesen Kampagnen auffällt: Legitime Remote-Access-Tools werden leicht zu Einfallstoren für Angreifer. Die Kombination vertrauenswürdiger Software mit sorgfältig konzipiertem Social Engineering – verbunden mit Ereignissen wie dem Ende des Steuerjahres – erschweren es, zu unterscheiden, was vertrauenswürdig ist und was nicht.«

Durch die Isolierung von Bedrohungen, die Erkennungs-Tools auf PCs umgangen haben – wobei sich Malware jedoch weiterhin sicher in geschützten Containern ausführen lässt – erhält HP Wolf Security Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben Kunden von HP Wolf Security mehr als 60 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass Sicherheitsverletzungen gemeldet wurden.

Der Bericht, der Daten aus dem Zeitraum Januar bis März 2026 untersucht, beschreibt detailliert, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitstools zu umgehen. Er zeigt unter anderem Folgendes:

Mindestens elf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
Ausführbare Dateien waren die häufigste Art der Malware-Verbreitung (39 Prozent), gefolgt von Archivdateien (38 Prozent) und PDF-Dokumenten (zehn Prozent).
- PDF-basierte Malware nahm um zwei Prozent zu. Angreifer setzten eine Vielzahl von Ködern wie Gerichtsdokumente und Bonuszahlungenein, um Dringlichkeit zu erzeugen und Klicks zu generieren.

Alex Holland, Principal Threat Researcher, HP Security Lab, kommentiert: »Die Angriffe sehen nicht wie Attacken aus – sie wirken wie ganz normale Geschäftsabläufe. Sie fügen sich in die normalen IT-Aktivitäten ein und vermeiden die mit Malware verbundenen Warnsignale. Um die Zukunft der Arbeit abzusichern und Risiken zu reduzieren, sollten Unternehmen unnötige Berechtigungen einschränken und die Softwareinstallation kontrollieren. Gleichzeitig müssen sie riskante Aktivitäten wie Downloads und unbekannte Links isolieren. Erkennung allein reicht nicht aus, wenn legitime Tools in Hintertüren verwandelt werden.«

[1] Die Daten wurden von Januar bis März 2026 von zustimmenden Kunden von HP Wolf Security erhoben. Durchgeführt wurden die Untersuchungen vom HP Threat Research Team. Um den gesamten Report zu sehen, besuchen Sie den HP Threat Research Blog. https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-june-2026/

Häufig gestellte Fragen

Was ist das wichtigste Ergebnis des aktuellen Threat Insights Reports von HP?
Der aktuelle HP Threat Insights Report von HP ergab, dass Cyberkriminelle zunehmend legitime Remote-Zugriff-Tools, gefälschte Downloads und immer glaubwürdigere Social-Engineering-Köder missbrauchen, um die Kontrolle über die PCs der Nutzer zu erlangen. Böswillige Aktivitäten werden als normales Nutzerverhalten getarnt. Dazu gehört beispielsweise die Installation vertrauenswürdiger Tools, um einer Erkennung zu entgehen.
Wie nutzen Angreifer legitime Remote-Zugriff-Tools aus?
Cyberkriminelle nutzen vertrauenswürdige Remote-Access-Tools wie LogMeIn und ScreenConnect als Hintertüren beziehungsweise Einfallstore zu den Geräten der Opfer. In den von den HP Threat Researchern analysierten Kampagnen wurden die Opfer durch Phishing-E-Mails zum Jahresende und gefälschte Desktop-App-Downloads – darunter auch gefälschte Downloads von Dating-Websites – dazu verleitet, diese Tools zu installieren. Im Anschluss erhielten Angreifer über die Tools dauerhafte Kontrolle und halfen ihnen, sich in normale IT-Aktivitäten einzufügen.
Welche weiteren Taktiken deckten die HP-Threat Reseacher auf?
HP Threat Researcher fanden außerdem gefälschte Tools zur Wiederherstellung von Krypto-Wallets. Sie waren darauf ausgelegt, Anmelde- und Wallet-Daten sowie Systeminformationen zu stehlen. Einige der Skripte enthielten viele Emojis und schienen mittels »Vibe-Coding« entwickelt worden zu sein, was darauf hindeutet, dass Angreifer KI-gestützte Codierungstechniken einsetzen, um Teile ihrer Angriffe zu erstellen. Darüber hinaus wurden ClickFix-Kampagnen identifiziert, bei denen Malware als Audiodateien getarnt und über realistisch wirkende CAPTCHA-Aufforderungen auf gut gestalteten gefälschten Websites verbreitet wurde.
Warum sind diese Angriffe für Anwender und IT-Teams schwer zu erkennen?
Die Angriffe sehen oft wie legitime Aktivitäten aus und sind daher schwer zu erkennen. Remote-Access-Tools werden von IT-Teams häufig genutzt und auch CAPTCHA-Aufforderungen sind den Nutzern vertraut. Phishing-Köder, die an Ereignisse wie das Ende des Steuerjahres geknüpft sind, können zeitgemäß und damit glaubwürdig wirken. Dies erschwert es, böswilliges Verhalten von normalen Geschäftsaktivitäten oder routinemäßigen Online-Interaktionen zu unterscheiden.
Was können Unternehmen tun, um das Risiko zu reduzieren?
HP empfiehlt, unnötige Nutzerrechte zu reduzieren und zu kontrollieren, welche Software installiert werden darf. Darüber hinaus sollten sie riskante Aktivitäten wie Downloads, unbekannte Links und Anhänge isolieren. Die Ergebnisse zeigen auch, warum Unternehmen sich nicht allein auf die Erkennung verlassen können – insbesondere, wenn Angreifer vertrauenswürdige Software und legitim wirkende Arbeitsabläufe nutzen, um Zugriff Geräte zu erlangen.

Über die Daten
Die Daten wurden von Januar bis März 2026 von zustimmenden Kunden von HP Wolf Security erhoben. Durchgeführt wurden die Untersuchungen vom HP Threat Research Team.

2190 Artikel zu „Sicherheit Remote“

News | Trends Security | IT-Security | Trends 2021

Remote Work: Sicherheitsbedenken bleiben bestehen

13. April 2021

Verstärkter Einsatz von Cloud-Technologien durch dauerhafte Home-Office-Modelle. Cloud-Securityanbieter Bitglass hat seinen diesjährigen Remote Workforce Security Report veröffentlicht. In einer Umfrage gaben IT-und Securityprofis Auskunft darüber, welche Auswirkungen das Arbeiten im Home Office im vergangenen Jahr auf die Datensicherheit gehabt hat. Home Office etabliert sich – trotz Sicherheitsbedenken. Bei der Mehrheit der Unternehmen (57…