Phishing-Angriff versteckt Malware in Bilddateien

Cybersecurity-Experten warnen vor einer gefährlichen neuen Welle von Phishing-Angriffen: Kriminelle verstecken Schadsoftware in scheinbar harmlosen Bilddateien und umgehen damit klassische Sicherheitssysteme. Die als Steganographie bekannte Technik kombiniert ausgefeilte Verschleierung mit Social Engineering – und trifft Unternehmen wie Privatpersonen gleichermaßen.

Die Masche funktioniert erschreckend einfach: Vermeintlich seriöse Geschäfts-E-Mails mit Bestellanfragen oder Rechnungen enthalten Bild-Anhänge, in deren Pixeln Schadcode verborgen liegt. Beim Öffnen wird dieser unsichtbar ausgeführt, stiehlt Zugangsdaten, lädt weitere Malware nach oder installiert Fernzugriffs-Trojaner. Das Perfide daran? Herkömmliche Virenscanner erkennen die Gefahr nicht, da sie primär nach verdächtigen Dateitypen wie Dokumenten mit Makros suchen – nicht nach manipulierten Bildern.

Besonders aktiv zeigt sich derzeit eine Kampagne, die die XWorm-Malware verbreitet. Der Angriff startet mit einer Phishing-Mail, die eine JavaScript-Datei enthält – getarnt mit harmlos klingenden Namen wie “BestellungNr.JS”. Führt der Empfänger diese aus, schreibt das Skript mehrere Dateien aufs System, darunter vermeintliche PNG-Bilder.

Doch diese Bilder sind keine Bilder. Sie enthalten verschlüsselte, Base64-kodierte Malware-Pakete, die anschließend per Windows PowerShell nachgeladen werden. Die eigentliche Schadsoftware läuft dann ausschließlich im Arbeitsspeicher – ohne jemals eine Datei auf der Festplatte anzulegen. Genau das macht den Angriff so tückisch: Klassische Virenscanner, die nach bekannten Signaturen auf der Festplatte suchen, bleiben blind.

Viele Nutzer unterschätzen, wie einfach Schadcode in scheinbar harmlosen Dateien steckt — auch Apps und Downloads können Geräte kompromittieren. Ein kostenloser Praxis-Guide zeigt die 5 wichtigsten Schutzmaßnahmen für Android‑Smartphones: sichere Einstellungen, geprüfte Apps, automatische Updates, Backup‑Strategien und Netzwerk‑Monitoring — mit klaren Schritt‑für‑Schritt-Anleitungen, die Sie sofort umsetzen können. Damit schützen Sie WhatsApp, Online‑Banking und persönliche Daten effektiv vor Datendieben. Gratis-Sicherheitspaket für Android herunterladen

Solche Techniken galten früher als Markenzeichen hochspezialisierter Hackergruppen. Heute nutzen sie auch Kleinkriminelle.

Phishing-Baukästen: Raffinierter denn je

Was diese Angriffswelle befeuert, sind immer ausgefeiltere Phishing-Kits, die im Untergrund kursieren. Besonders das seit August 2023 aktive “Tycoon 2FA”-Kit, das sich gegen Microsoft 365 und Google Workspace richtet, wurde massiv aufgerüstet. Die neue Version nutzt CAPTCHA-Abfragen, um automatisierte Sicherheitsanalysen zu blockieren, und setzt auf täuschend echte URLs.

Noch trickreicher: Das Kit komprimiert große Code-Blöcke mit LZString, die erst beim vollständigen Laden der Phishing-Seite entpackt werden. Sicherheitssysteme, die Seiten vorab scannen, gehen damit ins Leere.

Parallel dazu macht ein neues Kit namens “Cephas” die Runde. Seine Besonderheit? Der Quellcode ist mit unsichtbaren, zufälligen Zeichen durchsetzt. Diese Methode bricht die Muster-Erkennung herkömmlicher Anti-Phishing-Scanner – ein weiterer Beweis für das ewige Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern.

KI macht Angreifer noch gefährlicher

Künstliche Intelligenz verschärft die Bedrohung zusätzlich. KI-Tools ermöglichen es Kriminellen, täuschend echte E-Mails zu verfassen, die selbst geschulte Mitarbeiter nur schwer als Fälschung erkennen. Gleichzeitig kann KI den Schadcode präziser in Bilddateien einbetten, sodass manipulierte und legitime Dateien praktisch nicht mehr zu unterscheiden sind.

Die eingeschleuste Malware ist vielfältig: Remcos, AsyncRAT, AgentTesla, Vidar und Redline – allesamt Informationsdiebe, die Browser-Passwörter, E-Mail-Zugänge oder Fernsteuerungszugriffe ermöglichen. Der Einstiegspunkt ist meist ein präpariertes Dokument in einer Phishing-Mail. Wird es geöffnet, startet eine Kettenreaktion, an deren Ende die finale Schadsoftware direkt in den Arbeitsspeicher geladen wird.

Die Schwachstelle im System

Warum funktioniert das alles so gut? Viele Unternehmen verlassen sich auf E-Mail-Gateways und Antivirenprogramme, die Bilder nicht nach verstecktem Code durchsuchen. Diese Lücke nutzen Angreifer gezielt aus. Das Verstecken von Malware-Befehlen in Bildern, die Newsletter oder Spam-Mails beigefügt sind, ist eine leise, aber hocheffektive Methode, um unbemerkt aktiv zu bleiben.

Experten betonen: Rein signaturbasierte Erkennung reicht nicht mehr. Moderne Verteidigung erfordert verhaltensbasierte Analysen, die ungewöhnliche Prozesse und Netzwerkverkehr überwachen, sowie heuristische Methoden, die verdächtige Datei-Eigenschaften auch ohne bekannte Signatur identifizieren. Erschwerend kommt hinzu, dass Angreifer zunehmend legitime Cloud-Dienste zum Hosting ihrer Malware nutzen – böswilliger Traffic verschmilzt so mit normalem Datenverkehr.

Was Unternehmen jetzt tun können

Die Verwendung von Steganographie in Cyberangriffen wird weiter zunehmen – darüber sind sich Sicherheitsforscher einig. Die Professionalisierung von Phishing-Kits und der KI-Einsatz senken die Einstiegshürden für Kriminelle dramatisch.

Welche Schutzmaßnahmen helfen? Zunächst sollten Unternehmen Makros in Dokumenten aus dem Internet blockieren und streng limitieren, welche Dateitypen überhaupt heruntergeladen werden dürfen. Ebenso wichtig: Monitoring auf ungewöhnlichen ausgehenden Datenverkehr oder Verbindungen zu unbekannten Domains.

Doch die technische Aufrüstung allein reicht nicht. Mitarbeiter-Sensibilisierung bleibt die erste Verteidigungslinie – schließlich beginnt fast jeder Angriff mit einer perfide formulierten E-Mail. Kann das wirklich die Buchhaltung sein, die da nach der Rechnung fragt? Oder steckt mehr dahinter?

Am Ende braucht es einen Paradigmenwechsel: Weg von der reinen Signaturerkennung, hin zu fortgeschrittenen Verhaltensanalysen und einer wachsamen, proaktiven Sicherheitskultur. Denn eines ist klar – unsichtbare Bedrohungen erfordern sichtbare Wachsamkeit.

Übrigens: Sie möchten Ihr Smartphone ohne teure Zusatz‑Apps zuverlässig schützen? Unser kostenloses Sicherheitspaket erklärt leicht verständlich, welche fünf Maßnahmen Hacker‑Angriffe, Phishing‑Links und Schadsoftware fernhalten — inklusive Checkliste und praktischer Tipps für WhatsApp, Online‑Banking und Cloud‑Accounts. Ideal, wenn Sie sensible Daten und Zugangsdaten sicher verwahren wollen. Jetzt Android‑Schutzpaket anfordern