Cyberangriffe werden immer raffinierter: Hinter ultrarealistischen gefälschten PDF-Rechnungen verbirgt sich Schadsoftware.

Cyberkriminelle verfeinern ihre Angriffstechniken, wodurch es zunehmend schwieriger wird, digitale Bedrohungen von legitimen Aktivitäten zu unterscheiden. Dies geht aus dem neuesten Threat Insights Report von HP Wolf Security hervor, der zeigt, wie sich traditionelle Phishing-Techniken und „Living-off-the-land“-Strategien (LOTL) weiterentwickeln, um erkennungsbasierte Sicherheitstools zu umgehen . LOTL-Techniken, die bereits in Betriebssystemen vorhandene Tools und Funktionen nutzen, werden nun auf neue Weise kombiniert, was die Angriffserkennung zu einer komplexen Aufgabe macht.

Der Bericht bietet eine detaillierte Analyse der jüngsten Angriffskampagnen, basierend auf Millionen von Endpunkten, die von HP Wolf Security überwacht werden. Zu den wichtigsten Erkenntnissen zählen drei besonders raffinierte Methoden.

Die erste Methode ist ultrarealistisches Phishing mit gefälschten Adobe Reader-Rechnungen . Die Angreifer betteten eine sogenannte Reverse Shell (ein Skript, das die Kontrolle über das Gerät übernimmt) in ein kleines SVG-Bild ein, das als extrem realistische Adobe Acrobat Reader-PDF-Datei getarnt war , inklusive eines gefälschten Ladebalkens. Um die Analyse zusätzlich zu erschweren, war der Dateidownload auf den deutschsprachigen Raum beschränkt.

Der Bericht ergab außerdem, dass Angreifer Schadcode in Bilddateien verstecken . Mithilfe von Microsoft Compiled HTML Help-Dateien, die als Projektdokumente getarnt waren, versteckten Cyberkriminelle eine XWorm-Nutzlast in den Bildpixeln . Diese Nutzlast wird dann extrahiert, um eine mehrstufige Infektionskette einzuleiten. Dazu gehört auch die Verwendung von PowerShell, um alle Spuren zu löschen, sobald die Dateien heruntergeladen und ausgeführt wurden.

„ Cyberkriminelle wenden heute immer ausgefeiltere Strategien an, um sich im Alltag der Benutzer zu tarnen. Sie nutzen legitime Tools, vertraut aussehende Dateien und Techniken, die für herkömmliche Kontrollen unsichtbar sind. Da es immer schwieriger wird, Bedrohungen allein mit herkömmlichen Erkennungstools abzufangen, ist ein mehrschichtiger Sicherheitsansatz unerlässlich, mit dem sich die Bedrohungen isolieren und eindämmen lassen, bevor sie echten Schaden anrichten können. In einer zunehmend komplexen digitalen Umgebung wurde HP Wolf Security genau mit diesem Ziel entwickelt: Geräte und Endpunkte wirksam und transparent zu schützen, ohne die Produktivität zu beeinträchtigen, Menschen und Unternehmen dabei zu helfen, sich sicher zu bewegen und die Geschäftskontinuität zu gewährleisten“, sagte Giampiero Savorelli, VP und CEO von HP Italien .

Schließlich stellte der Bericht ein Wiederaufleben von Lumma Stealer fest, einer hochaktiven Schadsoftware, die über IMG-Archive verbreitet wird . Mithilfe von LOTL-Techniken können diese Anhänge Sicherheitsfilter umgehen und vertrauenswürdige Systeme ausnutzen. Trotz einer Strafverfolgungsmaßnahme im Mai 2025 war die kriminelle Gruppe weiterhin aktiv, registrierte neue Domains und baute ihre Infrastruktur wieder auf.

„ Angreifer erfinden das Rad nicht neu, aber sie perfektionieren ihre Techniken “, sagt Alex Holland, leitender Bedrohungsforscher im HP Security Lab . „ Wir beobachten eine zunehmende Kombination aus ‚Living-off-the-Land‘-Tools und der Verwendung weniger offensichtlicher Dateitypen wie Bildern, um der Entdeckung zu entgehen. Es handelt sich um einen einfachen, schnellen Ansatz, der oft unbemerkt bleibt, gerade weil er so grundlegend ist .“

Laut Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc. , sind LOTL-Techniken für Sicherheitsteams besonders schwer zu bekämpfen. „ Man sitzt in einer Zwickmühle: Entweder man schränkt die Aktivität ein und schafft so Reibungspunkte für die Benutzer, oder man lässt sie offen und riskiert das Eindringen eines Angreifers “, erklärt Pratt . „ Selbst die besten Erkennungssysteme können versagen. Deshalb ist eine tiefgreifende Verteidigung, die die Eindämmung und Isolierung von Bedrohungen umfasst, bevor sie Schaden anrichten können, unerlässlich. “

Daten aus dem Bericht, der den Zeitraum von April bis Juni 2025 abdeckt, zeigen, dass mindestens 13 % der von HP Sure Click identifizierten Bedrohungen einen oder mehrere E-Mail-Gateway-Scanner umgingen . Archivdateien waren der beliebteste Übermittlungstyp (40 %), gefolgt von ausführbaren Dateien und Skripten (35 %), mit einer klaren Präferenz für .rar-Dateien (26 %) . Dies deutet darauf hin, dass Angreifer das Vertrauen in gängige Software wie WinRAR ausnutzen, um Misstrauen zu vermeiden.