Thought Leadership
Cyberkriminelle entwickeln ihre altbekannten Methoden weiter und kombinieren sie mit neuen Tricks.
Das zeigt der aktuelle Threat Insights Report von HP, der Angriffe zwischen April und Juni 2025 analysiert hat. Statt neue Werkzeuge zu erfinden, setzen Täter zunehmend auf raffinierte Varianten von Phishing, Living-off-the-Land-Techniken (LOTL) und die Tarnung bösartiger Dateien als scheinbar harmlose Formate.
Angriffsmethoden im Wandel
LOTL-Ansätze sind nicht neu: Angreifer nutzen dabei bereits vorhandene Systemfunktionen, um unauffällig Schadsoftware einzuschleusen. Neu ist laut HP, dass in einzelnen Kampagnen mehrere, oft ungewöhnliche Dateitypen kombiniert werden. So verschwimmen die Grenzen zwischen legitimen und bösartigen Aktivitäten noch stärker, was die Erkennung erschwert.
Gefälschte Rechnungen mit eingebauter Falle
Eine Kampagne setzte auf täuschend echt wirkende Adobe Reader-Rechnungen. Hinter der Fassade eines PDF-Dokuments verbarg sich ein kleines Bildformat (SVG), das mit einer sogenannten Reverse Shell präpariert war. Diese ermöglicht den Angreifern direkten Zugriff auf den infizierten Rechner. Eine gefälschte Ladeanimation erhöhte die Glaubwürdigkeit. Auffällig: Die Attacke war gezielt auf deutschsprachige Regionen ausgerichtet – offenbar, um automatische Analysen zu umgehen.
In einem weiteren Fall tarnten Täter ihre Malware als Projektdokument. Tatsächlich handelte es sich um Microsoft Help-Dateien, in deren Bilddaten der Schädling XWorm verborgen war. Nach der Extraktion folgte eine mehrstufige Infektionskette, bei der PowerShell und CMD genutzt wurden, um Spuren zu verwischen.
Lumma Stealer trotz Strafverfolgung aktiv
Auch der bekannte Lumma Stealer machte erneut von sich reden. Er wurde über IMG-Archive verteilt und nutzte ebenfalls LOTL-Techniken, um Sicherheitsfilter zu umgehen. Obwohl Behörden im Mai 2025 gegen die Gruppe vorgingen, liefen die Kampagnen im Juni weiter. Neue Domains und Infrastruktur deuten darauf hin, dass die Angriffe langfristig angelegt sind.
Zahlen und Trends aus dem Report
Die Auswertung von HP Wolf Security liefert weitere Einblicke in die Angriffslandschaft:
- 13 Prozent der identifizierten E-Mail-Bedrohungen passierten mindestens einen Sicherheitsfilter.
- Archivdateien waren mit 40 Prozent die bevorzugte Transportmethode, gefolgt von Skripten und ausführbaren Dateien (35 Prozent).
- Besonders beliebt blieben .rar-Dateien (26 Prozent), die oft mit Programmen wie WinRAR geöffnet werden und daher wenig Verdacht erregen.
Die Erkenntnisse machen deutlich: Angriffe werden gezielter, flexibler und schwerer zu erkennen. Statt neue Schadprogramme zu entwickeln, verfeinern Täter ihre bestehenden Werkzeuge, tarnen Code in alltäglichen Dateiformaten oder beschränken Angriffe auf bestimmte Regionen. Für Unternehmen bedeutet das, dass klassische Erkennungssysteme allein nicht mehr ausreichen. HP verweist in diesem Zusammenhang auf seine isolationsbasierten Sicherheitslösungen, die selbst raffinierte Angriffe in geschützten Umgebungen abfangen sollen.
