Angreifer kombinieren gängige Angriffstechniken wie Phishing und Living-off-the-Land auf immer raffiniertere Weise. Laut dem aktuellen HP Threat Insights Report verschleiern sie Malware zunehmend in Bildern und scheinbar harmlosen PDF-Dokumenten – und umgehen damit gängige Schutzmechanismen.

Im aktuellen Threat Insights Report analysiert HP die Vorgehensweise moderner Angreifer, die auf weiterentwickelte Methoden setzen, um IT-Systeme zu kompromittieren. Im Fokus steht die gezielte Ausnutzung von Windows-eigenen Werkzeugen (»Living-off-the-Land«-Techniken) in Kombination mit täuschend echt gestalteten PDF-Ködern und in Bilddateien verstecktem Schad-Code. Ziel ist es, Erkennungssysteme zu umgehen und die Angriffe möglichst unauffällig zu gestalten.

Laut dem Bericht nutzen Cyberkriminelle zunehmend mehrere legitime Windows-Komponenten innerhalb eines Angriffs, um schwerer aufzufallen. Damit verschwimmen die Grenzen zwischen normalen Systemprozessen und bösartigen Aktivitäten, was die Analyse und Abwehr deutlich erschwert.

Eine von HP analysierte Kampagne setzte auf täuschend echt gestaltete PDF-Rechnungen im Stil des Adobe Acrobat Readers. In der Datei war ein Reverse-Shell-Skript in ein SVG-Bild eingebettet. Die visuelle Nachbildung eines Upload-Fortschrittsbalkens sollte die Glaubwürdigkeit erhöhen. Diese Angriffe waren gezielt auf deutschsprachige Nutzer ausgerichtet – eine Methode, um etwa die Analyse durch internationale Sicherheitssysteme zu erschweren.

Angreifer verstecken Malware beispielsweise in Pixel-Bilddateien: »Die Angreifer verwendeten Microsoft Compiled HTML Help-Dateien, um bösartigen Code in Bildpixeln zu verstecken«, erklärt Patrick Schläpfer, Principal Threat Researcher bei HP. »Die Dateien waren als Projektdokumente getarnt und verbargen eine XWorm-Nutzlast in den Pixeldaten. Sie wurden anschließend extrahiert und zur Ausführung einer mehrstufigen Infektionskette mit mehreren LOTL-Techniken verwendet. Außerdem verwendeten sie PowerShell, um eine CMD-Datei auszuführen, die die Spuren der Dateien löschte, sobald diese heruntergeladen und ausgeführt waren.«

Anzeige

Malware-Familie Lumma Stealer wieder sehr aktiv

Auch die Malware-Familie Lumma Stealer ist laut HP wieder verstärkt aktiv. Sie wurde über IMG-Dateien verbreitet, also Archivformate, die von gängigen Sicherheits-Tools oft nicht als verdächtig eingestuft werden. Diese Kampagnen setzten ebenfalls auf LOTL-Techniken, um bestehende Sicherheitsmechanismen gezielt zu umgehen. Trotz Maßnahmen von Strafverfolgungsbehörden im Mai 2025 setzte sich die Verbreitung der Malware im Juni fort.

HP stützt die Ergebnisse des Berichts auf die Telemetriedaten von Millionen Endgeräten, auf denen HP Wolf Security eingesetzt wird. Die Lösung nutzt unter anderem Container-Technologien, um potenziell schädliche Inhalte isoliert analysieren zu können. Laut Anbieter konnten so bislang über 55 Milliarden verdächtige Dateien untersucht werden – ohne bekannt gewordene Kompromittierungen.

Die Analyse bezieht sich auf den Zeitraum April bis Juni 2025. In diesem Quartal wurden unter anderem folgende Trends festgestellt:

• 13 Prozent der von HP Sure Click erkannten E-Mail-Bedrohungen umgingen mindestens einen E-Mail-Gateway-Scanner.
• Archivdateien waren mit 40 Prozent die häufigste Verbreitungsform, gefolgt von ausführbaren Dateien und Skripten (35 Prozent).
• Besonders häufig kamen .rar-Dateien zum Einsatz – ein Hinweis darauf, dass verbreitete Software wie WinRAR als Transportmittel missbraucht wird.

»Living-off-the-Land-Techniken sind für Sicherheits-Teams bekanntermaßen eine Herausforderung, da es schwer ist, grüne Flaggen von roten zu unterscheiden – das heißt, legitime Aktivitäten von Angriffen«, erklärt Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP. »Man befindet sich in einer Zwickmühle: Entweder man sperrt Aktivitäten und verursacht Reibungsverluste für Anwender und Tickets für das SOC, oder man lässt alles offen und riskiert, dass ein Angreifer durchschlüpft. Selbst die beste Erkennung kann Bedrohungen übersehen. Daher ist ein Defense-in-Depth-Ansatz mit Eindämmung und Isolierung unerlässlich, um Angriffe abzufangen, bevor sie Schaden anrichten können.«