
Illustration Absmeier foto freepik
Angreifer verknüpfen Living-off-the-Land-Techniken miteinander, um Erkennungslücken auszunützen.
Highlights in Kürze:
- Der neueste HP Threat Insights Report deckt hochentwickelte, gefälschte PDF-Reader-Köder auf und zeigt, wie Angreifer visuelle Täuschungen perfektionieren, um das Vertrauen in alltägliche Anwendungen auszunutzen [1].
- Der Bericht zeigt außerdem, dass Cyberkriminelle bösartigen Code in Pixel-Bilddaten verstecken, um Benutzer zu infizieren. Um ihre Spuren zu verwischen, löschen sich anschließend die Beweise.
- Untersuchungen zeigen, dass Angreifer eine Kombination aus »Living-off-the-Land«-Tools – das heißt, in die Windows-Umgebung integrierten Funktionen – einsetzen, um einer Entdeckung zu entgehen.
Die altbekannten Living-of-the-Land- und Phishing-Techniken (LOTL) entwickeln sich weiter – so das Ergebnis des aktuellen HP Threat Insights Report. Damit sollen herkömmliche, auf Erkennung basierende Sicherheitstools umgangen werden. LOTL-Techniken, bei denen Angreifer legitime Tools und Funktionen eines Computers nutzen, um ihre Angriffe durchzuführen, sind seit langem ein fester Bestandteil des Toolkits von Cyberkriminellen. Die HP Threat Researcher warnen nun jedoch davor, dass die zunehmende Verwendung mehrerer, oft ungewöhnlicher Binärdateien in einer einzigen Kampagne es noch schwieriger macht, böswillige von legitimen Aktivitäten zu unterscheiden.
Der Bericht enthält eine Analyse realer Cyberangriffe und hilft Unternehmen dabei, mit den neuesten Techniken Schritt zu halten, die Cyberkriminelle einsetzen, um der Erkennung zu entgehen und PCs zu kompromittieren. Basierend auf Millionen von Endgeräten, auf denen HP Wolf Security [2] ausgeführt wird, haben die HP Threat Researcher unter anderem folgende Kampagnen identifiziert:
- Gefälschte Adobe-Reader-Rechnungen signalisieren neue Welle professioneller Social-Engineering-Köder: Die Angreifer betteten eine Reverse Shell ein – ein Skript, das ihnen die Kontrolle über das Gerät des Opfers ermöglicht. Das Skript wurde in ein kleines SVG-Bild eingebettet – getarnt als sehr realistische Adobe-Acrobat-Reader-Datei – komplett mit gefälschter Ladeleiste. Dadurch entstand der Eindruck eines laufenden Uploads. Dies erhöhte die Wahrscheinlichkeit, dass die Opfer die Datei öffnen und eine Infektionskette auslösen würden. Die Angreifer beschränkten den Download außerdem auf deutschsprachige Regionen, um die Gefährdung zu begrenzen, automatisierte Analysesysteme zu behindern und die Erkennung zu verzögern.
- Angreifer verstecken Malware in Pixel-Bilddateien: Die Angreifer verwendeten Microsoft-Compiled-HTML-Help-Dateien, um bösartigen Code in Bildpixeln zu verstecken. Die Dateien waren als Projektdokumente getarnt und verbargen eine XWorm-Nutzlast in den Pixeldaten. Sie wurden anschließend extrahiert und zur Ausführung einer mehrstufigen Infektionskette mit mehreren LOTL-Techniken verwendet. Außerdem verwendeten sie PowerShell, um eine CMD-Datei auszuführen, die die Spuren der Dateien löschte, sobald diese heruntergeladen und ausgeführt waren.
- Lumma Stealer lebt wieder auf und verbreitet sich über IMG-Archive: Lumma Stealer war eine der aktivsten Malware-Familien im zweiten Quartal. Angreifer verbreiteten sie über mehrere Kanäle, darunter IMG-Archiv-Anhänge, die LOTL-Techniken nutzen, um Sicherheitsfilter zu umgehen und vertrauenswürdige Systeme auszunutzen. Trotz einer koordinierten Aktion der Strafverfolgungsbehörden im Mai 2025 wurden die Kampagnen im Juni fortgesetzt. Die Gruppe registriert bereits weitere Domains und baut Infrastruktur auf.
Alex Holland, Principal Threat Researcher, HP Security Lab, kommentiert: »Angreifer erfinden das Rad nicht neu, sondern verfeinern ihre Techniken. Living-off-the-Land, Reverse Shells und Phishing gibt es schon seit Jahrzehnten, aber die heutigen Bedrohungsakteure schärfen diese Methoden. Wir beobachten eine zunehmende Verkettung von Living-off-the-Land-Tools und die Verwendung weniger offensichtlicher Dateitypen, wie Bilder, um der Erkennung zu entgehen. Nehmen wir Reverse Shells als Beispiel – man muss kein vollwertiges RAT einsetzen, wenn ein simples Skript den gleichen Effekt erzielt. Es bleibt unbemerkt, gerade weil es so einfach und schnell ist.«
Diese Kampagnen zeigen, wie kreativ und anpassungsfähig Cyberkriminelle geworden sind. Indem sie bösartigen Code in Bildern verstecken, vertrauenswürdige Systemtools missbrauchen und sogar Angriffe auf bestimmte Regionen zuschneiden, erschweren sie es herkömmlichen Erkennungstools, Bedrohungen zu erkennen.
Der Bericht, der Daten aus dem Zeitraum April bis Juni 2025 untersucht, beschreibt detailliert, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitswerkzeuge zu umgehen, die auf Erkennung setzen. Dazu gehören beispielsweise:
- Mindestens 13 Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
- Archivdateien waren die beliebteste Art der Übertragung (40 Prozent), gefolgt von ausführbaren Dateien und Skripten (35 Prozent).
- Angreifer verwenden weiterhin .rar-Archivdateien (26 Prozent), was darauf hindeutet, dass sie vertrauenswürdige Software wie WinRAR ausnutzen, um keinen Verdacht zu erregen.
Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc., erklärt: »Living-off-the-Land-Techniken sind für Sicherheitsteams bekanntermaßen eine Herausforderung, da es schwer ist, grüne Flaggen von roten zu unterscheiden – das heißt, legitime Aktivitäten von Angriffen. Man befindet sich in einer Zwickmühle: Entweder man sperrt Aktivitäten und verursacht Reibungsverluste für Anwender und Tickets für das SOC, oder man lässt alles offen und riskiert, dass ein Angreifer durchschlüpft. Selbst die beste Erkennung kann Bedrohungen übersehen. Daher ist ein Defense-in-Depth-Ansatz mit Eindämmung und Isolierung unerlässlich, um Angriffe abzufangen, bevor sie Schaden anrichten können.«
[1] Den kompletten Bericht finden Sie im Threat Research-Blog. https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-september-2025/
Die Daten wurden von April bis Juni 2025 mit Zustimmung von HP Wolf Security-Kunden gesammelt und vom HP Threat Research Team untersucht.
[2] HP Wolf Security for Business requires Windows 10 or 11 Pro and higher, includes various HP security features and is available on HP Pro, Elite, RPOS and Workstation products. See product details for included security features.
Durch die Isolierung von Bedrohungen, die den Erkennungstools auf PCs entgangen sind – wobei Malware jedoch weiterhin sicher in geschützten Containern detonieren kann – hat HP Wolf Security spezifische Einblicke in die neuesten Techniken, die Cyberkriminelle einsetzen. Bis heute haben Kunden von HP Wolf Security auf über 55 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass Verstöße gemeldet wurden.
Artikel zu „LOTL“
Trends 2025 | News | Trends Security | IT-Security
Cybersecurity-Experten benennen Top-Bedrohungen, Sorgen und Herausforderungen

Mehr als die Hälfte der Befragten wird unter Druck gesetzt, über Sicherheitsverletzungen zu schweigen. Die Verringerung der Angriffsfläche und KI-Bedrohungen stehen an erster Stelle. Die Trennung zwischen Führung und Mitarbeitern bleibt bestehen. Bitdefender hat den Cybersecurity Assessment Report 2025 vorgestellt [1]. Der jährliche Bericht basiert auf einer unabhängigen Umfrage von mehr als 1.200 IT-…
Trends 2025 | News | Trends Security | Favoriten der Redaktion | IT-Security | Tipps | Whitepaper
Das freut die Cyberkriminellen: Potenzielle Opfer werden immer fahrlässiger

Ob starke Passwörter, Zwei-Faktor-Authentisierung oder regelmäßige Updates: Trotz anhaltend hoher Bedrohungslage verwenden Menschen weniger Maßnahmen als noch in den Vorjahren zum Schutz vor Gefahren im Internet, so der Cybersicherheitsmonitor 2025 [1]. Die repräsentative Dunkelfeldstudie von BSI und Polizei betrachtet das Schutzverhalten der Bevölkerung sowie ihre Betroffenheit von Cyberkriminalität. Eine Mehrheit der Verbraucherinnen und Verbraucher schützt…
Trends 2025 | News | Trends Security | IT-Security
84 Prozent aller schwerwiegenden Cyberattacken verwenden Living-off-the-Land-Taktiken

Netsh.exe unter Cyberkriminellen am beliebtesten, gefolgt von powershell.exe und reg.exe Eine Auswertung von 700.000 sicherheitsrelevanten Ereignissen aus den Telemetriedaten der Bitdefender-GravityZone-Plattform belegt, dass Angreifer für ihre tiefergehenden Attacken legitime Admin- und Entwicklertools nutzen. In 84 Prozent der analysierten Fälle der letzten 90 Tage nutzten sie Living-off-the-Land-Binaries (LOTL). Eine überprüfende Analyse von Daten der Managed-Detection-and-Response-Dienste…
News | Trends 2024 | Trends Security | IT-Security | Whitepaper
94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-basierte Bedrohungen legen laut neuem Internet Security Report von WatchGuard ebenfalls wieder zu. Die Zunahme von netzwerkbasierter Malware um 94 Prozent im Vergleich zum Vorquartal ist gewiss eine der eindrucksvollsten Beobachtungen des »Internet Security Report« für das vierte Quartal 2024 von WatchGuard Technologies. Dies geht einher mit einem generellen Anstieg des…
3380 Artikel zu „Cyberkriminelle“
News | IT-Security | Tipps
Sommerloch oder Hochsaison für Cyberkriminelle?

Genauso wie Fenster und Türen vor der Fahrt in den Urlaub penibel abgeschlossen werden, sollten auch Einfallstore ins Unternehmen gesichert sein. In den Sommermonaten genießen viele von uns eine wohlverdiente Auszeit vom Alltagsstress, doch Cyberkriminelle machen keine Pause. Im Gegenteil, die Urlaubszeit ist besonders attraktiv, da Unternehmen in dieser Zeit besonders angreifbar sind. Ähnlich…
News | IT-Security | Künstliche Intelligenz | Tipps
Cyberkriminelle nutzen intensiv KI: KI-gestützte Ransomware FunkSec

Die Ransomware-Gruppe FunkSec ist ein Beispiel dessen, wie die Zukunft der auf Masse ausgelegten Cyberkriminalität aussehen könnte: KI-gestützt, multifunktional, hochgradig anpassungsfähig und volumenorientiert mit Lösegeldforderungen schon ab nur 10.000 US-Dollar, um den Gewinn zu maximieren. FunkSec, seit Ende 2024 aktiv, hat bereits gezielt den Regierungs-, Technologie-, Finanz- und Bildungssektor in Europa und Asien angegriffen.…
Trends 2025 | News | Trends Security | Favoriten der Redaktion | IT-Security | Tipps | Whitepaper
Das freut die Cyberkriminellen: Potenzielle Opfer werden immer fahrlässiger

Ob starke Passwörter, Zwei-Faktor-Authentisierung oder regelmäßige Updates: Trotz anhaltend hoher Bedrohungslage verwenden Menschen weniger Maßnahmen als noch in den Vorjahren zum Schutz vor Gefahren im Internet, so der Cybersicherheitsmonitor 2025 [1]. Die repräsentative Dunkelfeldstudie von BSI und Polizei betrachtet das Schutzverhalten der Bevölkerung sowie ihre Betroffenheit von Cyberkriminalität. Eine Mehrheit der Verbraucherinnen und Verbraucher schützt…
News | IT-Security | Kommunikation | Tipps
Social Media – ein Ort, wo schöne Bilder, Selbstmarketing und Cyberkriminelle aufeinandertreffen

Social Media gehört für viele Menschen zum Alltag – das Status-Update oder das Teilen von Fotos, Videos, Neuigkeiten oder Meinungen ist ein tägliches ToDo. Doch: Social-Media-Plattformen sind heute auch eine der Hauptstätten für Betrug und Cyberkriminalität. Betrüger nutzen die Plattformalgorithmen, künstliche Intelligenz und personalisierte Interaktionen. Das Resultat: Angriffe können schneller und effektiver als je zuvor…
News | Infrastruktur | IT-Security | Services | Tipps
Service-Accounts – die versteckten Hintertüren, die Cyberkriminelle gerne ausnutzen

Service-Accounts sind ein wesentlicher Bestandteil der modernen IT-Infrastruktur und ermöglichen unbemerkt Automatisierung, Anwendungsintegrationen und Systemprozesse im gesamten Unternehmen. Trotz ihrer entscheidenden Bedeutung wird die Sicherheit von Service-Accounts oft übersehen, was sie zu einem beliebten Ziel für Cyberkriminelle macht. Im Gegensatz zu »menschlichen« Benutzerkonten sind Service-Accounts »nicht interaktive« Identitäten, die von IAM-Lösungen (Identity and Access…
News | Internet der Dinge | IT-Security | Services | Tipps
Smarte Weihnachtsgeschenke vor Cyberkriminellen schützen

Von Smart Watches über Smart Speaker bis zu smarten Glühlampen: Gerade in der Vorweihnachtszeit landen viele internetfähige Geräte in den Warenkörben. Mitunter bergen sie jedoch Risiken, die auf wohl keinem Wunschzettel stehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Verbraucherinnen und Verbrauchern dazu, IT-Sicherheit schon bei der Kaufentscheidung mitzudenken. Was als praktisches…
News | Trends Security | IT-Security
Der Wolf im Schafspelz – Cyberkriminelle setzten vermehrt auf vertrauenswürdige Anwendungen für ihre Angriffe

Die kriminelle Verwendung von Anwendungen und Tools auf Windows-Systemen, gemeinhin als »Living Off the Land«-Binärdateien bezeichnet, steigt um 51 %. Lockbit ist trotz staatlicher Intervention die Ransomware Nummer 1. Sophos hat seinen neuesten Active Adversary Report unter dem Titel »The Bite from Inside« veröffentlicht, der einen detaillierten Blick auf die veränderten Verhaltensweisen und Techniken…
News | IT-Security | Tipps
Cyberkriminelle nutzen CrowdStrike-Outage

Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen. Der Sicherheitsexperte Akamai hat die am…
News | IT-Security | Tipps
Olympische Spiele – Im Fadenkreuz der Cyberkriminellen

Egal ob Ringen, Rudern oder Schießen – die Olympischen Spiele sind ein enormes Spektakel, das regelmäßig Spitzenathleten und Zuschauer aus der ganzen Welt begeistert. Doch jenseits der Felder und Bahnen findet noch ein anderer Wettbewerb im Schatten statt – ein Cyber-Match, bei dem Angreifer um ihre eigene Art von Gold wetteifern. Es gibt zahlreiche Beispiele,…
News | IT-Security | Kommunikation | Produktmeldung | Tipps
Öffentliche WLANs: Cyberkriminelle freuen sich auf die Generation Z im Urlaub

Sorglose Always-On-Mentalität über öffentliche WLANs führt zu massenweise Identitätsdiebstahl. Hier ein schnelles Selfie für Facebook, dort ein Bild für Instagram und da noch ein hippes Video für TikTok… das Teilen des eigenen Lebens gehört für die Generation Z einfach dazu. Besonders im Urlaub werden dafür gerne freie WLANs genutzt, da das Datenvolumen im Ausland schnell…
IT-Security | Ausgabe 11-12-2023 | Security Spezial 11-12-2023
Domain-Spoofing: Wie Cyberkriminelle Vertrauen ausnutzen – Sherlock Holmes im Cybernetz

Hacker machen mittlerweile auch keinen Halt mehr davor, E-Mails oder Webseiten zu fälschen. Dieses sogenannte Domain-Spoofing ist eine Technik, die von Cyberkriminellen verwendet wird, um Einzelpersonen und Unternehmen zu täuschen. Und die Herangehensweise wird immer professioneller – gefälschte E-Mails oder Webseiten zu erkennen, gleicht einer Detektivarbeit.
News | IT-Security | Tipps
Halloween: Cyberkriminelle haben gruselige Tricks auf Lager

Findet man im Handel und an Ständen die orangenen Kürbisse, ist sie auch schon da: die Halloween-Saison. Kürbisse schnitzen, Süßes oder Saures geben, Kostüme planen, Süßigkeiten für die Kinder besorgen und natürlich Gruselfilme ansehen. Eine der gruseligsten Bedrohungen ist allerdings wenig witzig, weder für Privatpersonen noch für Unternehmen. Denn jetzt ist auch Hochsaison für Cyberkriminelle…
News | Favoriten der Redaktion | IT-Security | Ausgabe 7-8-2023 | Security Spezial 7-8-2023
Identitätsschutz – Cyberkriminelle loggen sich ein – was tun?

Unternehmen auf der ganzen Welt haben in den letzten Jahren vermehrt neue Technologien und Lösungen eingesetzt, um die Herausforderungen der globalen Pandemie zu meistern. Während diese Entwicklung Unternehmen zu Innovationen und neuer Stärke führen kann, sind gleichzeitig auch neue Cyberrisiken entstanden, die ausgenutzt werden können.
News | Trends Security | IT-Security | Trends 2023 | Tipps
Cyberkriminelle geben sich zunehmend als MFA-Anbieter aus

Der Bericht zur E-Mail-Sicherheit für 2023 der VIPRE Security Group analysiert neueste Trends innerhalb der E-Mail-Sicherheit und gibt Empfehlungen, wie man den sich stetig weiterentwickelnden Bedrohungen dennoch einen Schritt voraus bleibt. Der diesjährige Report belegt, dass sich Cyberkriminelle verstärkt auch als Anbieter von Multi-Faktor-Authentifizierung ausgeben und gerade kleinere Unternehmen als Ziel immer beliebter werden. VIPRE…
News | IT-Security | Produktmeldung
Trellix erweitert sein Threat-Intelligence-Portfolio zum besseren Schutz gegen Cyberkriminelle

Optimierte Funktionen für mehr Cybersicherheit dank Partnerschaft mit Intel 471. Trellix, Experte für Cybersicherheit und Vorreiter auf dem Gebiet innovativer XDR-Technologien, gab sein Vorhaben zur Erweiterung des Threat Intelligence-Portfolios bekannt. Damit können Trellix-Kunden weltweit verstärkt auf Expertise sowie umsetzbare Erkenntnisse über Bedrohungen zurückgreifen und Cyberkriminellen somit einen Schritt voraus bleiben. Das neue Angebot umfasst…
News | Trends Security | IT-Security
Cyberkriminelle starten minütlich neue Angriffe

Laut Threat Intelligence Report von Blackberry verwenden Hacker am häufigsten Malware, um ihre finanziellen, geopolitischen, militärischen und taktischen Ziele zu erreichen. Das Cybersecurity-Unternehmen Blackberry hat seinen Global Threat Intelligence Report veröffentlicht, der den Umfang und die Art der Bedrohungen für eine Reihe von verschiedenen Organisationen und Regionen aufzeigt. Dies beinhaltet auch gezielte Angriffe auf…
News | Trends Security | IT-Security | Trends 2022 | Whitepaper
Report zeigt: Cyberkriminelle starten minütlich neue Angriffe

Laut Threat Intelligence Report verwenden Hacker am häufigsten Malware, um ihre finanziellen, geopolitischen, militärischen und taktischen Ziele zu erreichen. Das Cybersecurity-Unternehmen BlackBerry hat seinen Global Threat Intelligence Report veröffentlicht, der den Umfang und die Art der Bedrohungen für eine Reihe von verschiedenen Organisationen und Regionen aufzeigt. Dies beinhaltet auch gezielte Angriffe auf den Automobil-…
News | Trends Security | IT-Security | Trends 2022 | Tipps
Digitalbarometer 2022: Weiter leichtes Spiel für Cyberkriminelle

Studie von BSI und Polizei zeigt: Kenntnisse zum Schutz vor Cyberangriffen sind vorhanden, werden jedoch noch unzureichend umgesetzt. Ein aktuelles Virenschutzprogramm, sichere Passwörter und eine aktuelle Firewall sind die Maßnahmen, die Bürgerinnen und Bürger am häufigsten nutzen, um sich vor Angriffen im Netz zu schützen. Zu einem grundlegenden Basisschutz gehört aber auch, Sicherheitslücken mit…
News | Trends Security | IT-Security | Trends 2022
Das Erwachen der LNK-Dateien: Cyberkriminelle setzen bei Angriffen auf Verknüpfungen

Neuer HP Wolf Security Report zeigt, mit welchen neuen Techniken und Phishing-Ködern Mitarbeiter getäuscht werden. HP Inc. veröffentlicht die aktuelle Ausgabe seines quartalsweise erscheinenden Threat Insights Reports. Demnach setzen Cyberkriminelle, die Malware-Familien – wie QakBot, IceID, Emotet und RedLine Stealer – für ihre Angriffe nutzen, vermehrt auf Verknüpfungsdateien (auch LNK genannt), um die Schadprogramme…
News | Trends Security | IT-Security
Hohes Risiko durch regierungsnahe Cyberkriminelle

Automatisierung, Problemlösung und Resilienz verbessern. Nur 25 Prozent der IT-Entscheider weltweit würden Nation-State-Angriffe erkennen. 86 Prozent der IT-Entscheider glauben, dass ihr Unternehmen in der Vergangenheit ins Visier einer cyberkriminellen Gruppe geraten ist, die im Namen einer Regierung handelte. Doch nur 27 Prozent sind zuversichtlich, dass ihr Unternehmen sogenannte Nation-State-Angriffe auch als solche erkennt. Dies geht…