Angreifer verfeinern Taktik: ultrarealistische PDF-Rechnungen als Köder

Sie verknüpfen Living-off-the-Land-Techniken, um Erkennungslücken auszunutzen.

Highlights in Kürze:

• Der neueste HP Threat Insights Report deckt hochentwickelte, gefälschte PDF-Reader-Köder auf und zeigt, wie Angreifer visuelle Täuschungen perfektionieren, um das Vertrauen in alltägliche Anwendungen auszunutzen.
• Der Bericht zeigt außerdem, dass Cyberkriminelle bösartigen Code in Pixel-Bilddaten verstecken, um Benutzer zu infizieren. Um ihre Spuren zu verwischen, löschen sich anschließend die Beweise.
• Untersuchungen zeigen, dass Angreifer eine Kombination aus „Living-off-the-Land“-Tools – das heißt, in die Windows-Umgebung integrierten Funktionen – einsetzen, um einer Entdeckung zu entgehen.

Die altbekannten Living-of-the-Land (LOTL)- und Phishing-Techniken entwickeln sich weiter – so das Ergebnis des aktuellen HP Threat Insights Report. Damit sollen herkömmliche, auf Erkennung basierende Sicherheitstools umgangen werden. LOTL-Techniken, bei denen Angreifer legitime Tools und Funktionen eines Computers nutzen, um ihre Angriffe durchzuführen, sind seit langem ein fester Bestandteil des Toolkits von Cyberkriminellen. Die HP Threat Researcher warnen nun jedoch davor, dass die zunehmende Verwendung mehrerer, oft ungewöhnlicher Binärdateien in einer einzigen Kampagne es noch schwieriger macht, böswillige von legitimen Aktivitäten zu unterscheiden.

Der Bericht enthält eine Analyse realer Cyber-Angriffe und hilft Unternehmen dabei, mit den neuesten Techniken Schritt zu halten, die Cyber-Kriminelle einsetzen, um der Erkennung zu entgehen und PCs zu kompromittieren. Basierend auf Millionen von Endgeräten, auf denen HP Wolf Security^[1] ausgeführt wird, haben die HP Threat Researcher unter anderem folgende Kampagnen identifiziert:

• Gefälschte Adobe Reader-Rechnungen signalisieren neue Welle professioneller Social-Engineering-Köder: Die Angreifer betteten eine Reverse Shell ein – ein Skript, das ihnen die Kontrolle über das Gerät des Opfers ermöglicht. Das Skript wurde in ein kleines SVG-Bild eingebettet – getarnt als sehr realistische Adobe Acrobat Reader-Datei – komplett mit gefälschter Ladeleiste. Dadurch entstand der Eindruck eines laufenden Uploads. Dies erhöhte die Wahrscheinlichkeit, dass die Opfer die Datei öffnen und eine Infektionskette auslösen würden. Die Angreifer beschränkten den Download außerdem auf deutschsprachige Regionen, um die Gefährdung zu begrenzen, automatisierte Analysesysteme zu behindern und die Erkennung zu verzögern.
• Angreifer verstecken Malware in Pixel-Bilddateien: Die Angreifer verwendeten Microsoft Compiled HTML Help-Dateien, um bösartigen Code in Bildpixeln zu verstecken. Die Dateien waren als Projektdokumente getarnt und verbargen eine XWorm-Nutzlast in den Pixeldaten. Sie wurden anschließend extrahiert und zur Ausführung einer mehrstufigen Infektionskette mit mehreren LOTL-Techniken verwendet. Außerdem verwendeten sie PowerShell, um eine CMD-Datei auszuführen, die die Spuren der Dateien löschte, sobald diese heruntergeladen und ausgeführt waren.
• Lumma Stealer lebt wieder auf und verbreitet sich über IMG-Archive: Lumma Stealer war eine der aktivsten Malware-Familien im zweiten Quartal. Angreifer verbreiteten sie über mehrere Kanäle, darunter IMG-Archiv-Anhänge, die LOTL-Techniken nutzen, um Sicherheitsfilter zu umgehen und vertrauenswürdige Systeme auszunutzen. Trotz einer koordinierten Aktion der Strafverfolgungsbehörden im Mai 2025 wurden die Kampagnen im Juni fortgesetzt. Die Gruppe registriert bereits weitere Domains und baut Infrastruktur auf.

Alex Holland, Principal Threat Researcher, HP Security Lab, kommentiert: „Angreifer erfinden das Rad nicht neu, sondern verfeinern ihre Techniken. Living-off-the-Land, Reverse Shells und Phishing gibt es schon seit Jahrzehnten, aber die heutigen Bedrohungsakteure schärfen diese Methoden. Wir beobachten eine zunehmende Verkettung von Living-off-the-Land-Tools und die Verwendung weniger offensichtlicher Dateitypen, wie Bilder, um der Erkennung zu entgehen. Nehmen wir Reverse Shells als Beispiel – man muss kein vollwertiges RAT einsetzen, wenn ein simples Skript den gleichen Effekt erzielt. Es bleibt unbemerkt, gerade weil es so einfach und schnell ist.“

Diese Kampagnen zeigen, wie kreativ und anpassungsfähig Cyber-Kriminelle geworden sind. Indem sie bösartigen Code in Bildern verstecken, vertrauenswürdige Systemtools missbrauchen und sogar Angriffe auf bestimmte Regionen zuschneiden, erschweren sie es herkömmlichen Erkennungstools, Bedrohungen zu erkennen.

Durch die Isolierung von Bedrohungen, die den Erkennungstools auf PCs entgangen sind – wobei Malware jedoch weiterhin sicher in geschützten Containern detonieren kann – hat HP Wolf Security spezifische Einblicke in die neuesten Techniken, die Cyber-Kriminelle einsetzen. Bis heute haben Kunden von HP Wolf Security auf über 55 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass Verstöße gemeldet wurden.

Der Bericht, der Daten aus dem Zeitraum April bis Juni 2025 untersucht, beschreibt detailliert, wie Cyber-Kriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitswerkzeuge zu umgehen, die auf Erkennung setzen. Dazu gehören beispielsweise:

• Mindestens 13 Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
• Archivdateien waren die beliebteste Art der Übertragung (40 Prozent), gefolgt von ausführbaren Dateien und Skripten (35 Prozent).
• Angreifer verwenden weiterhin .rar-Archivdateien (26 Prozent), was darauf hindeutet, dass sie vertrauenswürdige Software wie WinRAR ausnutzen, um keinen Verdacht zu erregen.

Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc., erklärt: „Living-off-the-Land-Techniken sind für Sicherheitsteams bekanntermaßen eine Herausforderung, da es schwer ist, grüne Flaggen von roten zu unterscheiden – das heißt, legitime Aktivitäten von Angriffen. Man befindet sich in einer Zwickmühle: Entweder man sperrt Aktivitäten und verursacht Reibungsverluste für Anwender und Tickets für das SOC, oder man lässt alles offen und riskiert, dass ein Angreifer durchschlüpft. Selbst die beste Erkennung kann Bedrohungen übersehen. Daher ist ein Defense-in-Depth-Ansatz mit Eindämmung und Isolierung unerlässlich, um Angriffe abzufangen, bevor sie Schaden anrichten können.“

Den kompletten Bericht finden Sie im Threat Research-Blog

Entdecken Sie mehr