foto freepik

Angreifer setzen äußerst überzeugende animierte Köder ein, um Nutzer dazu zu bringen, bösartigen Websites und Downloads zu vertrauen. Bedrohungsakteure führen täuschend echte Kampagnen mit minimalem Aufwand durch, indem sie käufliche Tools wie PureRAT und Phantom Stealer einsetzen, Vorlagen wiederverwenden und vertrauenswürdige Plattformen missbrauchen. Untersuchungen zeigen, dass Angreifer die Erkennung umgehen, indem sie DLL-Sideloading und modifizierte legitime Tools verwenden und sich regelmäßig an neue Windows-Schutzmechanismen anpassen.

HP hat seinen neuesten Threat Insights Report veröffentlicht, der zeigt, wie Angreifer ihre Kampagnen mit professionell wirkenden Animationen und käuflichen Malware-Diensten verfeinern [1]. Die HP Threat Researcher warnen, dass diese Kampagnen überzeugende Grafiken, bekannte Hosting-Plattformen wie Discord und regelmäßig aktualisierte Malware-Kits kombinieren, um der Erkennung durch Nutzer und Erkennungstools zu entgehen.

Der Bericht zeigt eine Analyse realer Cyberangriffe und hilft Unternehmen, mit den neuesten Techniken der Cyberkriminellen Schritt zu halten. Diese Methoden dienen dazu, Erkennungstools zu umgehen und PCs in der sich schnell verändernden Cyberkriminalitäts-Landschaft zu kompromittieren. Basierend auf Millionen von Endpunkten, auf denen HP Wolf Security ausgeführt wird, identifizierte das HP Threat Research Team unter anderem folgende bemerkenswerte Kampagnen:

DLL-Sideloading umgeht Endpunkt-Sicherheits-Scanner:
Angreifer, die sich als kolumbianische Staatsanwaltschaft ausgaben, versendeten gefälschte rechtliche Warnungen per E-Mail an Zielpersonen. Der Köder führte die Nutzer auf eine gefälschte Regierungswebsite weiter. Diese zeigte eine raffinierte Auto-Scroll-Animation an, die die Opfer zu einem »Einmalpasswort« leitete und sie dazu brachte, die bösartige, passwortgeschützte Archivdatei zu öffnen.

o Wird die Datei geöffnet, zeigt sie einen Ordner, der eine versteckte, bösartig veränderte Dynamic Link Library (DLL) enthält. Diese installiert im Hintergrund die Malware PureRAT und verschafft den Angreifern vollständige Kontrolle über das Gerät des Opfers. Die Samples waren äußerst schwer zu erkennen. Im Durchschnitt wurden nur 4 Prozent der entsprechenden Samples von Antiviren-Tools erkannt.

Gefälschtes Adobe-Update installiert Remote-Access-Tool:
Eine gefälschte PDF-Datei, die einen Adobe-Hinweis enthält, leitet Nutzer auf eine betrügerische Website weiter. Diese gibt vor, ein Update für ihre PDF-Reader-Software bereitzustellen. Eine inszenierte Animation zeigt einen gefälschten Installationsbalken, der Adobe imitiert. So bringen die Angreifer die Nutzer dazu, eine manipulierte ScreenConnect-Ausführungsdatei herunterzuladen – ein legitimes Remote-Access-Tool –, der sich mit den vom Angreifer kontrollierten Servern verbindet. Dadurch kann dieser das kompromittierte Gerät übernehmen.
Discord-Malware umgeht Windows 11-Sicherheitsmassnahmen:
Bedrohungsakteure hosteten ihren Payload auf Discord, um keine eigene Infrastruktur betreiben zu müssen und gleichzeitig von der guten Domain-Reputation der Plattform zu profitieren. Vor der Ausführung manipuliert die Malware den Windows-11-Speicherschutz Memory Integrity, um diese Sicherheitsfunktion zu umgehen. Die Infektionskette liefert anschließend Phantom Stealer aus – einen abonnierbaren Infostealer – der auf Hacker-Marktplätzen verkauft wird. Er enthält fertige Funktionen zum Entwenden von Anmelde- und Finanzdaten und wird regelmäßig aktualisiert, damit moderne Sicherheitstools ihn nicht erkennen.

Patrick Schläpfer, Principal Threat Researcher beim HP Security Lab, kommentiert: »Angreifer nutzen ausgefeilte Animationen wie gefälschte Ladebalken und Passwortabfragen, um bösartige Websites glaubwürdig und dringlich wirken zu lassen. Gleichzeitig setzen sie auf vorgefertigte, voll ausgestattete Malware-Abonnements, die genauso schnell aktualisiert werden wie legitime Software. Das hilft Bedrohungsakteuren dabei, erkennungsbasierten Sicherheitslösungen zu entgehen und mit deutlich weniger Aufwand an den Abwehrmechanismen vorbeizukommen.«

Begleitend zum Bericht hat das HP Threat Research Team einen Blogbeitrag veröffentlicht, der die Bedrohung durch Session-Cookie-Hijacking-Angriffe, die Verwendung gestohlener Zugangsdaten bei Eindringversuchen und die Verbreitung von Infostealer-Malware analysiert. Anstatt Passwörter zu stehlen oder die Multi-Faktor-Authentifizierung (MFA) zu umgehen, kapern Angreifer die Cookies, die belegen, dass ein Nutzer bereits angemeldet ist. So erhalten sie sofortigen Zugriff auf sensible Systeme. Eine von HP durchgeführte Analyse öffentlich gemeldeter Angriffsdaten ergab, dass über die Hälfte (57 %) der wichtigsten Malware-Familien im dritten Quartal 2025 Infostealer waren – eine Malware, die typischerweise über Funktionen zum Diebstahl von Cookies verfügt.

Durch die Isolierung von Bedrohungen, die die Erkennungstools auf PCs umgehen – während Malware weiterhin sicher in geschützten Containern ausgeführt werden kann –, erhält HP Wolf Security Einblicke in die neuesten Techniken von Cyberkriminellen. Bis heute haben HP Wolf Security Kunden über 55 Milliarden E-Mail-Anhänge, Webseiten und Downloads geöffnet – ohne einen einzigen gemeldeten Sicherheitsvorfall.

Der Bericht, der Daten aus dem Zeitraum Juli bis September 2025 untersucht, beschreibt detailliert, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitstools zu umgehen, die auf Erkennung setzen. Dazu gehören beispielsweise:

Mindestens elf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
Archivdateien waren mit 45 Prozent die beliebteste Art der Übertragung und verzeichneten einen Anstieg von fünf Prozentpunkten gegenüber dem zweiten Quartal. Angreifer verwenden zunehmend bösartige .tar- und .z-Archivdateien, um Nutzer ins Visier zu nehmen.
Im dritten Quartal waren elf Prozent der von HP Wolf Security gestoppten Bedrohungen PDF-Dateien, ein Wachstum von drei Prozentpunkten im Vergleich zum vorangegangenen Quartal.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc., erklärt: »Da Angreifer legitime Plattformen missbrauchen, vertrauenswürdige Marken imitieren und visuell überzeugende Täuschungen wie Animationen einsetzen, übersehen selbst leistungsstarke Erkennungstools einige Bedrohungen. Sicherheitsteams können nicht jeden Angriff vorhersehen. Durch die Isolierung risikoreicher Interaktionen, wie das Öffnen nicht vertrauenswürdiger Dateien und Websites, erhalten Unternehmen jedoch ein Sicherheitsnetz, das Bedrohungen abfängt, bevor sie Schaden anrichten können – ohne eine Einschränkung für die Nutzer.«

[1] Diese Daten wurden von Juli bis September 2025 mit Zustimmung von HP Wolf Security-Kunden erhoben und vom HP Threat Research Team untersucht.

https://threatresearch.ext.hp.com/tracing-the-rise-of-breaches-involving-session-cookie-theft/

4479 Artikel zu „Cybersicherheit“

News | Business | Favoriten der Redaktion | IT-Security | New Work | Strategien | Tipps

Wirkliche Cyberresilienz: Cybersicherheit ist eine Angelegenheit der Unternehmenskultur

7. Dezember 2025

Im Falle eines erfolgreichen Angriffs sind die Schuldigen mitunter schnell gefunden: Eine Lücke in der Firewall, eine geöffnete Phishing-Mail oder eine übersehene Warnmeldung. Doch ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte…