Malware in Bewegung: Wie animierte Köder Nutzer in die Infektionsfalle locken

Der aktuelle HP Threat Insight Report zeigt, dass Cyberkriminelle zunehmend auf hochgradig überzeugende, animierte Köder setzen, um Nutzer zu manipulieren und sie zum Besuch präparierter Webseiten oder zum Herunterladen schädlicher Dateien zu bewegen. + Darüber hinaus macht der Bericht deutlich, dass Bedrohungsakteure täuschend realistische Kampagnen mit erstaunlich geringem Aufwand orchestrieren. Möglich wird dies durch die Nutzung käuflicher Malware-as-a-Service-Werkzeuge wie PureRAT und Phantom Stealer, das Wiederverwenden vorgefertigter Templates sowie das Ausnutzen eigentlich vertrauenswürdiger Plattformen. + Die Analyse zeigt zudem, dass Angreifer ihre Aktivitäten geschickt vor Sicherheitslösungen verschleiern. Dazu setzen sie unter anderem auf DLL-Sideloading, manipulierte legitime Tools und passen ihre Techniken kontinuierlich an die aktuellen Schutzmechanismen von Windows an.

HP hat heute seinen neuesten Threat Insights Report veröffentlicht, der zeigt, wie Angreifer ihre Kampagnen mit professionell wirkenden Animationen und käuflichen Malware-Diensten verfeinern. Die HP Threat Researcher warnen, dass diese Kampagnen überzeugende Grafiken, bekannte Hosting-Plattformen wie Discord und regelmäßig aktualisierte Malware-Kits kombinieren, um der Erkennung durch Nutzer und Erkennungstools zu entgehen.

Der Bericht zeigt eine Analyse realer Cyberangriffe und hilft Unternehmen, mit den neuesten Techniken der Cyberkriminellen Schritt zu halten. Diese Methoden dienen dazu, Erkennungstools zu umgehen und PCs in der sich schnell verändernden Cyberkriminalitäts-Landschaft zu kompromittieren. Basierend auf Millionen von Endpunkten, auf denen HP Wolf Security* ausgeführt wird, identifizierte das HP Threat Research Team unter anderem folgende bemerkenswerte Kampagnen:

• DLL-Sideloading umgeht Endpunkt-Sicherheits-Scanner: Angreifer, die sich als kolumbianische Staatsanwaltschaft ausgaben, versendeten gefälschte rechtliche Warnungen per E-Mail an Zielpersonen. Der Köder führte die Nutzer auf eine gefälschte Regierungswebsite weiter. Diese zeigte eine raffinierte Auto-Scroll-Animation an, die die Opfer zu einem „Einmalpasswort“ leitete und sie dazu brachte, die bösartige, passwortgeschützte Archivdatei zu öffnen.
  • Wird die Datei geöffnet, zeigt sie einen Ordner, der eine versteckte, bösartig veränderte Dynamic Link Library (DLL) enthält. Diese installiert im Hintergrund die Malware PureRAT und verschafft den Angreifern vollständige Kontrolle über das Gerät des Opfers. Die Samples waren äußerst schwer zu erkennen. Im Durchschnitt wurden nur 4 Prozent der entsprechenden Samples von Antiviren-Tools erkannt.
• Gefälschtes Adobe-Update installiert Remote-Access-Tool: Eine gefälschte PDF-Datei, die einen Adobe-Hinweis enthält, leitet Nutzer auf eine betrügerische Website weiter. Diese gibt vor, ein Update für ihre PDF-Reader-Software bereitzustellen. Eine inszenierte Animation zeigt einen gefälschten Installationsbalken, der Adobe imitiert. So bringen die Angreifer die Nutzer dazu, eine manipulierte ScreenConnect-Ausführungsdatei herunterzuladen – ein legitimes Remote-Access-Tool –, der sich mit den vom Angreifer kontrollierten Servern verbindet. Dadurch kann dieser das kompromittierte Gerät übernehmen.
• Discord-Malware umgeht Windows 11-Sicherheitsmassnahmen: Bedrohungsakteure hosteten ihren Payload auf Discord, um keine eigene Infrastruktur betreiben zu müssen und gleichzeitig von der guten Domain-Reputation der Plattform zu profitieren. Vor der Ausführung manipuliert die Malware den Windows-11-Speicherschutz Memory Integrity, um diese Sicherheitsfunktion zu umgehen. Die Infektionskette liefert anschließend Phantom Stealer aus – einen abonnierbaren Infostealer – der auf Hacker-Marktplätzen verkauft wird. Er enthält fertige Funktionen zum Entwenden von Anmelde- und Finanzdaten und wird regelmäßig aktualisiert, damit moderne Sicherheitstools ihn nicht erkennen.

Patrick Schläpfer, Principal Threat Researcher beim HP Security Lab, kommentiert: „Angreifer nutzen ausgefeilte Animationen wie gefälschte Ladebalken und Passwortabfragen, um bösartige Websites glaubwürdig und dringlich wirken zu lassen. Gleichzeitig setzen sie auf vorgefertigte, voll ausgestattete Malware-Abonnements, die genauso schnell aktualisiert werden wie legitime Software. Das hilft Bedrohungsakteuren dabei, erkennungsbasierten Sicherheitslösungen zu entgehen und mit deutlich weniger Aufwand an den Abwehrmechanismen vorbeizukommen.“

Begleitend zum Bericht hat das HP Threat Research Team einen Blogbeitrag veröffentlicht, der die Bedrohung durch Session-Cookie-Hijacking-Angriffe, die Verwendung gestohlener Zugangsdaten bei Eindringversuchen und die Verbreitung von Infostealer-Malware analysiert. Anstatt Passwörter zu stehlen oder die Multi-Faktor-Authentifizierung (MFA) zu umgehen, kapern Angreifer die Cookies, die belegen, dass ein Nutzer bereits angemeldet ist. So erhalten sie sofortigen Zugriff auf sensible Systeme. Eine von HP durchgeführte Analyse öffentlich gemeldeter Angriffsdaten ergab, dass über die Hälfte (57 %) der wichtigsten Malware-Familien im dritten Quartal 2025 Infostealer waren–eine Malware, die typischerweise über Funktionen zum Diebstahl von Cookies verfügt.

Durch die Isolierung von Bedrohungen, die den Erkennungstools auf PCs umgehen – während Malware weiterhin sicher in geschützten Containern ausgeführt werden kann –, erhält HP Wolf Security Einblicke in die neuesten Techniken von Cyberkriminellen. Bis heute haben HP Wolf Security Kunden über 55 Milliarden E-Mail-Anhänge, Webseiten und Downloads geöffnet – ohne einen einzigen gemeldeten Sicherheitsvorfall.

Der Bericht, der Daten aus dem Zeitraum Juli bis September 2025 untersucht, beschreibt detailliert, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitstools zu umgehen, die auf Erkennung setzen. Dazu gehören beispielsweise:

• Mindestens elf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
• Archivdateien waren mit 45 Prozent die beliebteste Art der Übertragung und verzeichneten einen Anstieg von fünf Prozentpunkten gegenüber dem zweiten Quartal. Angreifer verwenden zunehmend bösartige .tar- und .z-Archivdateien, um Nutzer ins Visier zu nehmen.
• Im dritten Quartal waren elf Prozent der von HP Wolf Security gestoppten Bedrohungen PDF-Dateien, ein Wachstum von drei Prozentpunkten im Vergleich zum vorangegangenen Quartal.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc., erklärt: „Da Angreifer legitime Plattformen missbrauchen, vertrauenswürdige Marken imitieren und visuell überzeugende Täuschungen wie Animationen einsetzen, übersehen selbst leistungsstarke Erkennungstools einige Bedrohungen. Sicherheitsteams können nicht jeden Angriff vorhersehen. Durch die Isolierung risikoreicher Interaktionen, wie das Öffnen nicht vertrauenswürdiger Dateien und Websites, erhalten Unternehmen jedoch ein Sicherheitsnetz, das Bedrohungen abfängt, bevor sie Schaden anrichten können – ohne eine Einschränkung für die Nutzer.“

Den Bericht finden Sie im Threat Research Blog.

Weiteres

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk