[datensicherheit.de, 23.07.2025] Wenn kulinarische Rezepte und Malware aufeinandertreffen, wird das Ergebnis wohl eher unbekömmlich sein: „Der Fall der gefälschten App ,RecipeLister’, den BlueVoyant untersucht hat, zeigt eindrucksvoll, wie einfach Angreifer ihre wahren Absichten hinter einer scheinbar harmlosen Anwendung verbergen können.“ Auf den ersten Blick scheine „RecipeLister“ genau das zu bieten, was sie verspricht – eine umfangreiche Bibliothek internationaler Rezepte, verpackt in einer benutzerfreundlichen „Windows“-App. Tatsächlich bestätigten die Sicherheitsforscher demnach, dass diese App eine große und gut strukturierte Sammlung von Rezepten bereithält – und genau dort aber hätten die Angreifer ihre Schadsoftware versteckt.

„RecipeLister“-App – raffiniertes Werkzeug für verdeckte Cyberangriffe

Die Bedrohungsakteure scheuten keinen Aufwand, um ihre Software möglichst seriös zu gestalten und attraktiv für Endnutzer zu machen. „Mithilfe von Malvertising und SEO-Poisoning – Techniken, mit denen Suchmaschinen und Online-Werbung manipuliert werden, um schädliche Inhalte nach oben zu spülen – platzierten sie ,RecipeLister’ gezielt auf den vorderen Plätzen der Suchergebnisse, wie auch Blumira berichtete.“

• „RecipeLister“ habe sich als kostenlose „Windows“-Anwendung mit einer umfangreichen Sammlung internationaler Rezepte präsentiert. „Auf den ersten Blick wirkte die App vertrauenswürdig – digital signiert, sauber verpackt und über Suchanzeigen sowie seriös wirkende Webseiten verbreitet“.

Nach der Installation schien sie ihr Versprechen einzulösen und habe den Nutzern einen funktionierenden Rezept-Browser versprochen. „Doch hinter der makellosen Oberfläche verbarg sich ein ausgeklügelter Mechanismus, um unbemerkt Schadcode auf die Systeme der Nutzer zu schleusen.“ Die Untersuchung habe gezeigt: „,RecipeLister’ war weit mehr als ein digitaler Küchenhelfer – sie war ein raffiniertes Werkzeug für verdeckte Cyberangriffe.“

Verschleierung: App lud Inhalte von entferntem Server, welche auf den ersten Blick wie gewöhnliche Rezepte wirkten

Die eigentliche Raffinesse von „RecipeLister“ habe in der Art und Weise gelegen, „wie der Schadcode versteckt wurde“ – genau dort, wo ihn niemand vermuten würde, nämlich mitten in den Rezeptdaten selbst.

• „Die App lud Inhalte von einem entfernten Server, die auf den ersten Blick wie gewöhnliche Rezeptbeschreibungen wirkten. Tatsächlich aber waren in diesen Daten unsichtbare Nullbreiten-Unicode-Zeichen verborgen, für Menschen nicht wahrnehmbar, die zusammen einen verschlüsselten String bildeten. Dieser wurde anschließend mit einem fest eingebauten Schlüssel entschlüsselt und im Hintergrund ausgeführt – das betroffene System wurde so unbemerkt zum Wirt beliebiger Schadsoftware.“

Basierend auf Steganografie, also dem Verbergen von Informationen im Sichtbaren, sei diese Malware lange unentdeckt geblieben und habe sich weiterhin als harmlose App tarnen können.

Bevor man Apps herunterlädt und installiert sollte man genau potenzielle Nutzen und Risiko abwägen

Anders als typische Malware, die sofort zuschlägt, habe sich „RecipeLister“ Zeit gelassen. In unregelmäßigen Abständen habe diese App den Server kontaktiert, geprüft, ob eine neue „Payload“ vorlag, und versucht, diese zu entschlüsseln und auszuführen, „sobald die Bedingungen stimmten“. Schlug die Entschlüsselung fehl, habe sie geduldig und unauffällig abgewartet, um es später erneut zu versuchen. Diese langsame, berechnende Vorgehensweise habe es der Schadsoftware ermöglicht, gängige Sicherheitsmechanismen zu umgehen und über lange Zeit unbemerkt zu bleiben.

• „RecipeLister“ sei eine eindringliche Mahnung vor den verborgenen Risiken vermeintlich harmloser „Freeware“. Der raffinierte Einsatz unsichtbarer Zeichen und die verzögerte Angriffsstrategie zeigten, wie weit Angreifer gingen, um unentdeckt zu bleiben. „Die Botschaft für Nutzer ist eindeutig: Selbst die alltäglichste Software kann zur Sicherheitsbedrohung werden, wenn blindes Vertrauen Wachsamkeit ersetzt!“

Bevor man eine Anwendung herunterlädt und installiert – so unbedeutend sie auch erscheinen mag – sollte man folglich genau abwägen, „ob der potenzielle Nutzen das Risiko tatsächlich rechtfertigt“.

Weitere Informationen zum Thema:

BlueVoyant, Blog, Thomas Elkins, 17.07.2025
RecipeLister: A Recipe for Disaster

Blumira, Taylor Jacobson, 29.05.2025
Verdächtiger Code-Alarm: Rezept App entführt Anmeldeinformationen und scheint C&C-Verbindung zu etablieren

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 20.02.2025
Neue Bedrohungsakteure: Fake-Update-Angriffe zum Malware-Upload / Angreifer setzen zunehmend für verschiedene Plattformen optimierte maßgeschneiderte Malware ein

datensicherheit.de, 29.05.2024
Gipy: Malware tarnt sich als KI-Tool und stiehlt Passwörter sowie Daten / Auch Deutschland im Gipy-Visier – unter den fünf am häufigsten betroffenen Ländern

[datensicherheit.de, 15.07.2025] Sicherheitsexperten für Echtzeitschutz auf Mobilgeräten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich demnach einer Entdeckung auf „Android“-Endgeräten raffiniert entzieht: Zimperium warnt in einer aktuellen Stellungnahme, dass diese neueste Version fortschrittliche Verschleierungs- und Umgehungstaktiken auf ZIP-Ebene nutze, wodurch die Schadsoftware deutlich schwieriger zu erkennen und analysieren sei als bisherige Varianten.

Zimperiums „zLabs“-Sicherheitsforscher: „Konfety“-Malware-Kampagne nutzt Dual-App-Strategie

Zimperiums „zLabs“-Sicherheitsforschern zufolge verfolgt diese „Konfety“-Malware-Kampagne eine Dual-App-Strategie: „Der Paketname wird sowohl für eine harmlose ,Play Store’-App als auch für eine bösartige Version verwendet, die über Drittanbieterquellen verbreitet wird. Auf diese Weise sollen Benutzer getäuscht und herkömmliche Erkennungsmethoden umgangen werden.“

Darüber hinaus entziehe sich das Schadprogramm der Analyse durch Sicherheitstools, „indem die Struktur des APK-Installationspakets manipuliert, nicht unterstützte Komprimierungsformate benannt und ZIP-Header manipuliert werden“.

„Konfety“ Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern

„Es handelt sich hier nicht um eine Wiederholung von Bedrohungsmechanismen – wir sehen ein professionell gestaltetes Update, um Sicherheitsanalysten austricksen und automatisierten Security-Tools ausweichen zu können“, erläutert Nico Chiaraviglio, „Chief Scientist“ bei Zimperium. „,Konfety’ ist ein Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern und mobile Schadprogramme weiterentwickeln“, so Chiaraviglio.

Raffinierte Verschleierungsmechanismen:

• Dynamisches Code-Loading
  Bösartiger Code werde entschlüsselt und erst zur Laufzeit ausgeführt, um sich vor herkömmlichen Scans verbergen zu können.
• Fake-App-Verhalten
  Die Malware unterdrücke ihr App-Symbol, ahme legitime App-Metadaten nach und leite Benutzer durch die Infrastruktur für Anzeigenbetrug um.
• Verschleierung auf ZIP-Ebene
  Integrierte Techniken bewirkten, dass gängige Analysetools abstürzten oder die APK-Datei fälschlicherweise als passwortgeschützt bzw. falsch formatiert eingestuft würden.

Zimperium-Analyse: „Konfety“-Entwickler mit hohem Maß an Raffinesse

Die Zimperium-Analyse habe ergeben, dass „Konfety“ das „CaramelAds SDK“ nutze, um heimlich Nutzdaten übertragen, dauerhafte Spam-Browser-Benachrichtigungen verbreiten und Betrug erleichtern zu können. Diese Kampagne setze regionsspezifische Verhaltensweisen ein, um europäische Nutzer aggressiv auf verdächtige Webseiten umzuleiten.

„Konfety“ manipuliere die APK-ZIP-Struktur von „Android“ auf eine Weise, welche beliebte Reverse-Engineering-Tools abstürzen lasse. Damit setzten die Entwickler ein neues Maß an Raffinesse bei Umgehungstaktiken mobiler Malware um.

Weitere Informationen zum Thema:

ZIMPERIUM
Konfety Returns: Classic Mobile Threat with New Evasion Techniques

ZIMPERIUM
The World Leader in Mobile Device & Application Security / New: 2025 Global Mobile Threat Report

ZIMPERIUM
Zimperium Blog

The Hacker News, Ravie Lakshmanan, 16.07.2024
‚Konfety‘ Ad Fraud Uses 250+ Google Play Decoy Apps to Hide Malicious Twins

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 04.01.2024]
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert

[datensicherheit.de, 07.07.2025] Die Bedrohungslandschaft für mobile Endgeräte hat sich seit Jahresbeginn 2025 offenbar deutlich nachteilig verändert – so haben Sicherheitsforscher von Malwarebytes nach eigenen Angaben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt. Bedrohungen durch „Spyware“ hätten sich mit 147 Prozent auch mehr als verdoppelt. Die Anzahl an SMS-Nachrichten mit einem Link zu schädlichen Inhalten sei sogar um 692 Prozent gestiegen.

Infizierte Apps werden über offizielle wie inoffizielle App-Stores verbreitet

Diese Zahlen zeigten, dass Cyberkriminelle ihre Strategie angepasst hätten. Die Angreifer skalierten ihre Aktivitäten – und Banking-Trojaner sowie sogenannte Spyware hätten lange Zeit vorherrschende Schadsoftware für Mobilgeräte wie „Adware“ oder „Riskware“ abgelöst. Die infizierten Apps würden dabei sowohl über offizielle als auch inoffizielle App-Stores verbreitet.

„Angreifer wissen, dass wir unseren Smartphones vertrauen“, sagt Shahak Shalev, „Senior Director of Research and Development Online Plattformen“ bei Malwarebytes. Er führt zur Bedeutung der alltäglichen Smartphone-Nutzung aus: „Wir machen unser Banking mit ihnen, weisen uns damit aus und speichern unser gesamtes digitales Leben darauf.“

Auf über 30% der „Android“-Geräte läuft ein veraltetes Betriebssystem

Umso wichtiger werde es, die Geräte stets auf dem aktuellsten Stand zu halten. In vielen Fällen geschehe dies jedoch nicht. Auf über 30 Prozent der „Android“-Geräte laufe ein veraltetes Betriebssystem, für welches es keine Software-Updates mehr gebe. „Trotzdem werden diese Geräte im Alltag eingesetzt.“

Was „Android“-Nutzer also tun können, um sich vor Schadsoftware zu schützen – hier die wichtigsten Regeln:

• Apps nur aus dem offiziellen „Google Play Store“ herunterladen!
• Vorsichtig sein, welche Zugriffsrechte man einer neu installierten App einräumt!
• Benachrichtigungen von Webseiten soweit es geht einschränken und keine Berechtigung erteilen!
• Aktuelle Security-Software auf „Android“-Geräten verwenden!

Weitere Informationen zum Thema:

Malwarebytes LABS, Pieter Arntz, 30.06.2025
Android threats rise sharply, with mobile malware jumping by 151% since start of year

datensicherheit.de, 04.01.2024
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert

datensicherheit.de, 20.07.2021
Stalkerware zur Spionage unter Android: Abwehr ist machbar / AV-TEST Institut untersuchte Security-Apps gegen Stalkerware

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender / Multi-funktionaler WAPDropper meldet Android-Nutzer für kostenpflichtige Abonnements an

[datensicherheit.de, 23.06.2025] Der „Amatera Stealer“, ein neue, hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, so eine Warnung von Proofpoint: Es handelt sich demnach um eine Weiterentwicklung des bekannten „ACR Stealer“ und ist jüngst in den Fokus der Proofpoint-Forscher geraten, die nun eine ausführliche Untersuchung dazu veröffentlicht haben. Mit ausgefeilten Tarnmechanismen und einer bemerkenswerten Angriffskette markiere diese Malware einen neuen Höhepunkt in der Professionalisierung von Cybercrime-Dienstleistungen im sogenannten Malware-as-a-Service-Modell (MaaS).

Abbildung: Proofpoint

Proofpoint-Experten warnen vor „Amatera Stealer“ – dem neugestalteten „ACR Stealer“ mit verbessertem Umgehungsvermögen und mehr Raffinesse

Verbreitung von „Amatera“ vor allem über kompromittierte Webseiten

Während der ursprüngliche „ACR Stealer“ bereits als ernstzunehmende Bedrohung gegolten habe, hebe sich „Amatera“ durch zahlreiche technische Neuerungen und einen noch stärkeren Fokus auf die Umgehung moderner Sicherheitslösungen deutlich ab.

• Derzeit erfolge die Verbreitung des „Amatera Stealer“ vor allem über kompromittierte Webseiten, welche von den Angreifern mit bösartigem Code infiziert würden.

Besonders hervorzuheben sei auch der Einsatz von „Social Engineering“ in diesem Zusammenhang: „Nutzer werden beispielsweise durch täuschend echte CAPTCHA-Abfragen dazu verleitet, bestimmte Tastenkombinationen auszuführen.“ Diese Tastenkombinationen seien jedoch „PowerShell“-Befehle und starteten im Hintergrund unbemerkt die „PowerShell“-Konsole. Auf diesem Weg werde dann die eigentliche Schadsoftware nachgeladen.

„Amatera“ verzichtet auf DNS-Anfragen und tarnt seinen Datenverkehr

„Dieser mehrstufige Infektionsweg, bei dem legitime Prozesse und verschachtelte, stark verschleierte Skripte ineinandergreifen, erschwert nicht nur die Erkennung durch klassische Schutzsysteme, sondern stellt auch eine Herausforderung für die forensische Analyse durch Sicherheitsteams dar.“

• Was „Amatera“ besonders gefährlich mache, sei seine Fähigkeit, etablierte Überwachungs- und Abwehrmechanismen gezielt zu umgehen. „So nutzt die Malware zur Kommunikation mit ihren Kontrollservern keine herkömmlichen ,Windows’-Netzwerkfunktionen, sondern greift direkt auf tieferliegende Systemkomponenten zu.“

Dadurch würden viele Endpoint-Detection-Lösungen schlicht ausgehebelt. Zudem verzichte „Amatera“ auf DNS-Anfragen und tarne seinen Datenverkehr hinter IP-Adressen großer Content-Delivery-Networks wie „Cloudflare“. Dieses Vorgehen erschwere Blockierungsmaßnahmen zusätzlich und mache den Datenabfluss kaum erkennbar. „Auch die Nutzung dynamischer Systemaufrufe trägt dazu bei, dass gängige Analyse- und ,Sandboxing’-Technologien ins Leere laufen.“

„Amatera“ gelingt es, spezielle Schutzmechanismen moderner Browser zu unterlaufen

Im Zentrum der Aktivitäten stehe das Sammeln und der Diebstahl sensibler Informationen. Das Spektrum der ausgespähten Inhalte reiche dabei von Browserdaten und Zugangsdaten für „Krypto-Wallets“, Passwortmanager und Messenger-Apps bis hin zu E-Mail- und FTP-Zugangsdaten. Dabei gelinge es „Amatera“ sogar, spezielle Schutzmechanismen moderner Browser zu unterlaufen, indem gezielt sogenannter Shellcode in laufende Prozesse eingeschleust werde.

• Die Steuerung und Aktualisierung der Funktionen erfolgten flexibel über Konfigurationsdateien, welche von den Angreifern zentral bereitgestellt würden. Dadurch könne die Malware jederzeit an neue Anforderungen angepasst werden.

Die rasante Weiterentwicklung und Modularität von „Amatera Stealer“ verdeutliche einmal mehr, „wie wichtig es für Unternehmen und deren Security-Verantwortliche ist, die aktuelle Bedrohungslage im Blick zu behalten und die Sensibilisierung der eigenen Mitarbeiter für Cybersecurity-Gefahren nicht als einmalige Maßnahme, sondern als kontinuierlichen Prozess zu begreifen!“

Weitere Informationen zum Thema:

proofpoint, Jeremy Hedges & Tommy Madjar & Proofpoint Threat Research Team, 16.06.2025
Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

malpedia, 10.06.2025
Amatera

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware / Neu registrierte Domains als mögliche Quellen für neue Malware-Kampagnen

[datensicherheit.de, 09.06.2025] Eine neue Untersuchung von NordVPN offenbart demnach eine alarmierende Entwicklung im Bereich der Cybersicherheit: Weltweit seien fast 94 Milliarden sogenannte Cookies durch Malware gestohlen worden – dies sei ein Anstieg von 74 Prozent im Vergleich zum Vorjahr. Auch Deutschland sei betroffen: Über 1,3 Milliarden Cookies deutscher Nutzer seien im sogenannten Darknet entdeckt worden – mehr als 109 Millionen davon seien noch aktiv und könnten als digitale Zugangsschlüssel missbraucht werden. Die Daten wurden von „NordStellar“, einer Plattform für das Management von Bedrohungsrisiken, analysiert. Die Untersuchungen fanden zwischen dem 23. und 30. April 2025 statt. „Grundlage war öffentlich zugängliches Material aus Telegram-Kanälen, in denen Hacker gestohlene Daten zum Verkauf anbieten. Das entstandene Datenset umfasste Informationen zu 93,76 Milliarden Cookies.“ Analysiert worden seien u. a. deren Aktivitätsstatus, Herkunftsland, eingesetzte Malware, Betriebssysteme der Nutzer sowie enthaltene Metadaten. „NordVPN hat keine gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen, sondern lediglich untersucht, welche Arten von Daten darin enthalten waren.“

Cookies in den falschen Händen sind digitale Schlüssel zu unseren sensibelsten Informationen

Die aktuelle Untersuchung von NordVPN zeigt: „Der Diebstahl von Cookies hat weltweit massiv zugenommen – von 54 Milliarden im Vorjahr zu fast 94 Milliarden. Deutschland belegt im globalen Vergleich Platz 19 von 253 Ländern.“ Über 1,3 Milliarden Cookies deutscher Nutzer seien im „Darknet“ entdeckt worden, wovon noch mehr als 109 Millionen aktiv und mit realen Nutzeraktivitäten verknüpft seien.

„Cookies mögen harmlos erscheinen, aber in den falschen Händen sind sie digitale Schlüssel zu unseren sensibelsten Informationen“, warnt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN. Er erläutert: „Was einst zur Verbesserung des Surferlebnisses gedacht war, hat sich zu einer Schwachstelle entwickelt, die Cyberkriminelle weltweit gezielt ausnutzen können.“

Bequemlichkeit mit hohem Preis – die unsichtbare Gefahr beim alltäglichen Surfen

Unter „Cookies“ werden kleine Textdateien verstanden, welche von Websites im Browser gespeichert werden, um etwa Anmeldedaten, Einstellungen oder Warenkörbe zu hinterlegen. Sie ermöglichen so ein komfortableres Surferlebnis, etwa durch schnellere Ladezeiten und personalisierte Inhalte. Cookies könnten jedoch auch von Hackern ausgenutzt werden, um persönliche Daten zu stehlen und auf sichere Systeme zuzugreifen.

Cyberkriminelle könnten also Cookies gezielt nutzen, um Sitzungen zu kapern, Identitäten zu stehlen und Sicherheitsmechanismen zu umgehen. „Viele verstehen nicht, dass ein gestohlener Cookie genauso gefährlich sein kann wie ein gestohlenes Passwort“, stellt Warmenhoven klar und gibt zu bedenken: „Ein kompromittierter Cookie kann es Angreifern ermöglichen, ganz ohne Anmeldung direkten Zugriff auf Konten und sensible Daten zu erlangen.“

Gezielte Malware-Kampagne nimmt personenbezogene Daten ins Visier

Diese Untersuchung von NordVPN habe eine massive Malware-Kampagne aufgedeckt, bei der fast 94 Milliarden Cookies gestohlen worden seien – ein Anstieg von 74 Prozent gegenüber dem Vorjahr (54 Milliarden). Besonders alarmierend sei: 20,55 Prozent dieser Cookies seien noch aktiv und stellten damit ein anhaltendes Risiko für die Privatsphäre der Nutzer dar. Der Großteil der gestohlenen Cookies stamme von großen Plattformen wie „Google“ (4,5 Mrd.), „YouTube“ (1,33 Mrd.), sowie „Microsoft“ und „Bing“ (jeweils über 1 Mrd.).

Auch die Zahl der offengelegten personenbezogenen Daten sei drastisch gestiegen: „2024 wurden 10,5 Milliarden zugewiesene IDs, 739 Millionen Sitzungs-IDs, 154 Millionen Authentifizierungstoken und 37 Millionen Anmeldedaten entdeckt. 2025 schnellten die Zahlen stark nach oben: Es wurden 18 Milliarden zugewiesene IDs und 1,2 Milliarden Sitzungs-IDs offengelegt.“ Diese Datentypen seien für die Identifizierung von Nutzern und die Sicherung von Online-Konten von entscheidender Bedeutung und daher für Cyberkriminelle äußerst wertvoll.

Anzahl der Malware-Varianten verdreifacht

Die betreffenden Cookies seien mithilfe von 38 verschiedenen Malware-Typen entwendet worden – mehr als dreimal so viele wie noch 2024. Am aktivsten waren laut NordVPN: „Redline“ (41,6 Milliarden „Cookies“), „Vidar“ (zehn Milliarden „Cookies“) und „LummaC2“ (neun Milliarden Cookies).

Diese Malware-Familien seien dafür bekannt, von Cyberkriminellen eingesetzt zu werden, um Anmeldedaten, Passwörter und andere sensible Daten zu stehlen. Zusätzlich seien 26 neue Malware-Typen wie etwa „RisePro“ und „Stealc“ entdeckt worden, „die 2024 noch nicht aufgetreten waren – ein deutlicher Hinweis auf die rasante Weiterentwicklung von Cyberkriminalität“.

Cyberrisiko in Deutschland höher als oftmals vermutet: Über 109 Millionen real genutzte Cookies

Die gestohlenen Cookies stammten von Nutzern aus 253 Ländern weltweit. Deutschland verzeichne von über 1,3 Milliarden zwar nur 8,25 Prozent aktive Cookies, doch das entspreche über 109 Millionen real genutzter Cookies, welche Kriminellen als digitale Zugangsschlüssel dienen könnten. „Das sind Millionen Menschen, die potenziell von Cyberkriminalität betroffen sind“, verdeutlicht Warmenhoven. Um sich eben gegen Datenlecks und Malware zu wappnen, sollten Nutzer einige grundlegende Sicherheitsmaßnahmen beachten:

• Starke, individuelle Passwörter verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Persönliche Informationen nur mit Bedacht weitergeben!
• Keine verdächtigen Links anklicken und keine unbekannten Dateien herunterladen!
• Regelmäßig Website-Daten löschen und Geräte aktualisieren!

„Normalerweise schließen Nutzer den Browser, aber die Sitzung bleibt weiterhin gültig. Der Cookie bleibt gespeichert. Wenn die Daten dieser Website nie gelöscht werden, bleibt die Sitzung so lange gültig, wie es der Website-Betreiber für sicher hält“, erläutert Warmenhoven. Schon einfache Maßnahmen könnten das Risiko eines unbefugten Zugriffs deutlich verringern. „Es ist nur ein geringer Zeitaufwand, der vor großen Bedrohungen schützen kann!“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 27.05.2025
Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

NordStellar
Know what hackers know / Full cyber threat visibility for business

datensicherheit.de, 06.12.2022
Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden / Websites vorgeschalteten Cookie-Banner in Verruf geraten

datensicherheit.de, 12.07.2020
Cookie-Einwilligung: Vorangekreuzte Check-Boxen unzulässig / Mareike Vogt erklärt, worauf Unternehmen jetzt achten sollten

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies / Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten notwendig

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung / Grundsatzentscheidung vom 1. Oktober 2019 erschwert laut MITTELSTANDSVERBUND das Online-Geschäft

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen / Palo Alto Networks entdeckt „gefährliches Cyber-Krümelmonster“

[datensicherheit.de, 01.06.2025] Laut einer aktuellen Acronis-Meldung von Ende Mai 2025 hat sich die Bedrohungslage durch Cyberangriffe in Deutschland 2024 strukturell verändert: Wie aktuelle Zahlen von Acronis demnach zeigen, war Malware im vergangenen Jahr die dominierende Bedrohung – durchschnittlich 23,7 Prozent der Acronis-Nutzer in Deutschland waren monatlich betroffen, fast doppelt so viele wie noch 2023 mit zwölf Prozent. Dagegen hätten Angriffe mittels Ransomware im Januar 2024 im Vergleich zu Dezember 2023 einen Rückgang um 80 Prozent verzeichnet. „Dieser Trend hielt das ganze Jahr über an: In jedem Monat 2024 lagen die Ransomware-Erkennungen deutlich unter denen des gleichen Zeitraums im Vorjahr.“

Laut der „Acronis Threat Research Unit setzen Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken

Die Telemetriedaten von Acronis zeigten einen Anstieg der Malware-Angriffe in Deutschland im Jahr 2024 an. Die durchschnittliche Erkennungsrate habe im Jahresverlauf bei 23,7 Prozent gelegen, was fast eine Verdopplung im Vergleich zum Vorjahr darstelle, als nur zwölf Prozent der Acronis-Nutzer von Malware betroffen gewesen seien.

• „Diese Zunahme wurde durch verschiedene Faktoren beeinflusst und zeigt, dass Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken setzen.“

Laut der „Acronis Threat Research Unit“ (TRU) ist die veränderte Bedrohungslage auf eine Kombination aus verstärkten Abwehrmaßnahmen gegen Ransomware und einem strategischen Wandel aufseiten der Angreifer zurückzuführen:

• „Statt auffälliger Erpressungstaktiken setzen Cyberkriminelle zunehmend auf versteckte Infektionswege, ,Info-Stealer’ und dateilose Angriffe, die schwieriger zu erkennen und abzuwehren sind.“

Nach Acronis-Erkenntnissen bestimmten saisonale Schwankungen Malware-Bedrohungslage

Im Jahresverlauf 2024 seien saisonale Schwankungen bei den Malware-Erkennungsraten zu beobachten gewesen. „Der höchste Anstieg erfolgte im April, als die Erkennungsrate mit 27,5 Prozent den höchsten Punkt des Jahres erreichte. Ein Rückgang war im Juni zu verzeichnen, als die Erkennungsrate auf 22,5 Prozent sank.“

• Dies könnte durch die reduzierten Geschäftstätigkeiten während der Sommermonate sowie eine zunehmende Nutzung von versteckten Malware-Techniken wie sogenannten Info-Stealern und dateilosen Angriffen bedingt gewesen sein.

„Der Herbst und Winter 2024 brachten jedoch erneut einen deutlichen Anstieg. Im November stieg die Erkennungsrate auf 25,3 Prozent und im Dezember erreichte sie mit 26,7 Prozent ihren höchsten Wert des Jahres.“

• Dies könnte mit saisonalen Ereignissen wie „Black Friday“, dem Weihnachtsshopping und den häufigeren finanziellen Jahresabschlüssen zusammenhängen, bei denen Cyberkriminelle verstärkt auf gezielte Angriffe setzten, um von den erhöhten Online-Transaktionen und sensiblen Geschäftsdaten zu profitieren.

Acronis berichtet von Rückgang bei Ransomware-Erkennungen im Jahr 2024

Die Zahl der Ransomware-Erkennungen sei im Jahr 2024 deutlich zurückgegangen – „im Januar 2024 wurden lediglich 896 Angriffe registriert, im Vergleich zu 4.387 im Januar 2023, was einem Rückgang von fast 80 Prozent entspricht“. Dieser Trend habe sich über das gesamte Jahr fortgesetzt:

• „In jedem Monat 2024 waren die Ransomware-Erkennungen deutlich niedriger als in den entsprechenden Monaten des Vorjahres. Diese Entwicklung deutet auf einen signifikanten Rückgang der Ransomware-Aktivitäten hin, was möglicherweise auf verbesserte Cybersicherheitsmaßnahmen und verstärkte Strafverfolgungsmaßnahmen zurückzuführen ist.“

Gleichzeitig könnten Angreifer indes zunehmend auf subtilere Taktiken wie Lieferketten-Kompromittierungen und Daten-Erpressung setzen, um ihre Ziele zu erreichen. „Der deutliche Anstieg von Malware-Erkennungen bei gleichzeitiger Verlagerung der Angreiferstrategien weg von Ransomware zeigt: Cyberkriminalität wird leiser – aber keinesfalls harmloser“, so Markus Fitz, „DACH GM“ von Acronis.

• Unternehmen und Nutzer sollten ihre Schutzmaßnahmen anpassen, regelmäßige Updates durchführen, mehrstufige Authentifizierung nutzen und verdächtige Aktivitäten frühzeitig erkennen. „Die Bedrohungen entwickeln sich weiter – und Abwehrmaßnahmen müssen das auch!“, betont Fitz abschließend

Weitere Informationen zum Thema:

Acronis
Whitepaper: „Kurzfassung: Acronis Cyberthreats Report (2. Halbjahr 2024)“

Acronis
Whitepapers: „Acronis Cyberthreats Report, H2 2024: The rise of AI-driven threats“

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 13.03.2025] Check Point® Software Technologies Ltd. hat seinen Global Threat Index für Februar 2025 veröffentlicht. Abermals zeigt sich eine drastische Veränderung in der deutschen Malware-Landschaft. War im Januar noch Formbook mit 16,5 Prozent der dominierende Schädling, ist nun nicht nur der Infostealer aus der Top 3 verschwunden – auch die nachfolgenden Plätze wurden durch FakeUpdates und AsyncRat neu besetzt. Bei letzterem handelt es sich um einem Remote Access Trojaner, der auch international zunehmend Systeme kompromittiert. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann.

Sicherheitsforscher von Check Point Research (CPR) haben beobachtet, dass der aufstrebende Trojaner AsyncRAT in professionellen Kampagnen eingesetzt wird, die Plattformen wie TryCloudflare und Dropbox zur Verbreitung von Malware nutzen. Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien.

Maya Horowitz, VP of Research bei Check Point Software, kommentiert: „Cyberkriminelle nutzen legitime Plattformen, um Malware zu verbreiten und einer Entdeckung zu entgehen. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen implementieren, um die Risiken solcher sich entwickelnden Bedrohungen zu mindern.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.

1. ↑ Androxgh0st (2,07 %) – AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.
2. ↑ FakeUpdates (2,04 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.
3. ↑ AsyncRat (1,83 %) – AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Meist angegriffene Branchen und Sektoren in Deutschland:

1. Bildung
2. ↑ Gesundheitswesen und Medizintechnik
3. Biotechnologie und Pharmazeutik

Top Mobile Malware

1. Anubis – Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.
2. ↑ Necro – Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.
3. ↓ AhMyth – AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Wichtigste Ransomware-Gruppen

Clop bleibt die am weitesten verbreitete Ransomware-Gruppe und ist für 35 Prozent der identifizierten Angriffe verantwortlich. Es folgen RansomHub und Akira auf den Plätzen 2 und 3.

1. Clop – Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.
2. ↑ RansomHub – RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.
3. ↑ Akira – Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.

Weitere Information zum Thema:

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Check Point Blog
February 2025’s Malware Spotlight: AsyncRAT Emerges, Targeting Trusted Platforms

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 02.03.2025] Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Die Analyse des letzten Jahres – 2024 – zeigt demnach, dass sogenannte Malware-as-a-Service (MaaS) inzwischen für mehr als die Hälfte (57 %) aller Cyber-Angriffe auf Unternehmen verantwortlich ist und damit den anhaltenden Anstieg von Cybercrime-as-a-Service (CaaS) belegt. Die Daten stammten aus den Beobachtungen des „Darktrace Threat Research“-Teams, welches mit Hilfe selbstlernender KI von Darktrace die IT-Sicherheit von fast 10.000 Kunden weltweit überwache. Der vorliegende Bericht verdeutliche eine „zunehmend komplexe Bedrohungslage mit immer raffinierteren Angriffsmethoden“.

Abbildung: Darktrace

Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Malware-as-a-Service sticht heraus

Cybercrime-as-a-Service immer nutzerfreundlicher und damit gefährlicher: Ausbringung von Malware bzw. Ransomware

Die Verbreitung von CaaS-Modellen, insbesondere Ransomware-as-a-Service (RaaS) und MaaS, nehme weiter zu, da auch weniger erfahrene Cyber-Kriminelle mit neuen Werkzeugen hochgradig zerstörerische Angriffe durchführen könnten. Laut dem Bericht sei die Nutzung von MaaS-Tools in der zweiten Jahreshälfte 2024 um 17 Prozent gestiegen – „von 40 Prozent in den ersten sechs Monaten auf 57 Prozent der von Darktrace erkannten Angriffsaktivitäten“.

Besonders auffällig sei auch die Zunahme der Nutzung von „Remote Access Trojans“ (RATs), welche es Angreifern ermöglichten, ein infiziertes Gerät aus der Ferne zu kontrollieren. Während RATs im ersten Halbjahr nur zwölf Prozent der Kampagnen ausgemacht hätten, sei dieser Anteil in der zweiten Jahreshälfte auf 46 Prozent gestiegen. Diese Art der Cyber-Angriffe erlaube es Angreifern, Daten zu stehlen, Anmeldedaten zu entwenden und Nutzer auszuspionieren, was die wachsende Komplexität alltäglicher Cyber-Gefahren zeige.

„Darktrace Threat Research Team“ beobachtet Malware-/Ransomware-Bedrohungen der Kunden

Das „Darktrace Threat Research Team“ habe eine Reihe von Ransomware-Bedrohungen ihrer Kunden beobachtet – „darunter neue Varianten wie ,Lynx’ sowie wiederaufkommende Bedrohungen wie ,Akira’, ,RansomHub’, ,Black Basta’, ,Fog’ und ,Qilin’“. Während Phishing weiterhin ein Hauptangriffsvektor bleibe, griffen Cyber-Kriminelle zunehmend zu durchdachteren Methoden:

„Sie nutzen legitime Werkzeuge wie ,AnyDesk’ und ,Atera’ zur Verschleierung von Command-and-Control-Kommunikation, LOTL-Techniken für laterale Bewegungen, exfiltrieren Daten über gängige ,Cloud’-Speicher und setzen Dateitransfer-Tools für schnelle Angriffe und doppelte Erpressungsmethoden ein.“

Malware-Angreifer: Tarnung durch Ausnutzung von Edge-Geräten und LOTL-Techniken

Moderne Angreifer setzten verstärkt auf unauffällige Infiltration, statt direkt Chaos zu verursachen. Besonders häufig würden Schwachstellen in Edge- und Perimeter-Geräten ausgenutzt, um sich Zugang zu Netzwerken zu verschaffen. Anschließend kämen LOTL-Techniken zum Einsatz. Dabei missbrauchten sie legitime, bereits vorhandene Systemwerkzeuge, um unentdeckt zu bleiben.

„2024 entfielen 40 Prozent aller beobachteten Kampagnen in der ersten Jahreshälfte auf Angriffe, die auf internet-freigegebene Geräte abzielten.“ Besonders betroffen gewesen seien „Ivanti Connect Secure“ (CS) und „Ivanti Policy Secure“ (PS), „Palo Alto Networks (PAN-OS) Firewalls Fortinet Appliances“.

Herkömmliche Sicherheitssysteme haben es schwer, Malware- und Phishing-Angriffe zu identifizieren

Als Beispiel: „Darktrace entdeckte verdächtige Aktivitäten auf Palo-Alto-Firewalls bereits am 26. März – ganze 17 Tage bevor die öffentliche Sicherheitswarnung am 12. April herausgegeben wurde.“ Zusätzlich hätten die Darktrace-Experten einen verstärkten Missbrauch gestohlener Anmeldedaten beobachtet, um sich über VPNs in Netzwerke einzuloggen. Einmal eingedrungen, nutzten Angreifer vorhandene administrative Werkzeuge, um unbemerkt ihre Ziele zu erreichen. Herkömmliche Sicherheitssysteme hätten es schwer, solche Angriffe zu identifizieren, da sie zwischen legitimem und bösartigem Verhalten nicht unterscheiden könnten.

„Die Kombination aus Cybercrime-as-a-Service, Automatisierung und KI führt dazu, dass Angriffstechniken rasanter weiterentwickelt werden als je zuvor – von KI-gestützten Phishing-Kampagnen bis hin zu neuen Ransomware-Varianten“, kommentiert Nathaniel Jones. Er rät abschließend: „Unternehmen müssen ihre Cyber-Resilienz stärken, indem sie Schwachstellen proaktiv eliminieren – bevor Angreifer sie ausnutzen!“

Weitere Informationen zum Thema:

DARKTRACE, 19.02.2025
White Paper: Annual Threat Report 2024

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 23.02.2022
Xloader: Evolution einer Malware zum Malware-as-a-Service / Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren

[datensicherheit.de, 23.02.2025] „Malwarebytes hat kürzlich seinen neuesten ,State of Malware-Report vorgestellt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Dessen zentrale Aussage: „Agentenbasierte KI-Modelle sind auf dem Vormarsch und werden die Verbreitung von Malware für Cyber-Kriminelle immer einfacher und billiger machen.“ Agentenbasierte KI-Modelle seien eine spezielle Form der Künstlichen Intelligenz (KI), bei der die Modelle in Form vieler autonomer Einheiten – „Agenten“ – operierten. „Indem sie miteinander und mit ihrer Umgebung interagieren, können sie lernen und sich selbst optimieren, wodurch das Systemverhalten der KI stark dynamisiert wird.“ Um ihre vorgegebenen Ziele zu erreichen könnten sie selbständig Kontexte interpretieren, Optionen bewerten und Aktionen ausführen.

Foto: KnowBe4

Dr. Martin J. Krämer: Moderne Anti-Phishing-E-Mail-Lösungen mittels KI können selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren

Agentenbasierte KI-Modelle ermöglichten es Cyber-Kriminellen, ihre Angriffe im großen Stil zu automatisieren

Cyber-Kriminelle würden durch sie in die Lage versetzt, ihre Angriffe deutlich auszuweiten – sowohl in quantitativer als auch in qualitativer Hinsicht. Denn agentenbasierte KI-Modelle ermöglichten es ihnen, ihre Angriffe – die derzeit häufig noch einen hohen personellen Aufwand erforderten – im großen Stil zu automatisieren. „Ihre Fähigkeit zur Selbstoptimierung, selbständig Angriffe zu planen, umzusetzen, auszuwerten und zu optimieren, wird die Attacken von Cyber-Kriminellen einfacher, skalierbarer und billiger machen – und außerdem noch stärker zugeschnitten auf die individuellen Schwächen ihrer Opfer“, warnt Dr. Krämer.

Auch und gerade im Angriffsvorfeld, bei der Aufspürung potenzieller Ziele, der Feststellung ihrer individuellen Schwachstellen und der Ausspähung, Hortung und Nutzbarmachung ihrer personenbezogenen Daten sowie ihrer „Credentials“ würden sie zum Einsatz kommen. Phishing, „Spear Phishing“ und „Social Engineering“ – nach wie vor Ansatzpunkt Nr. 1 eines jeden erfolgreichen Cyber-Angriffs – würden so effektiver, effizienter und erfolgreicher zum Einsatz gebracht werden können.

Agentenbasierte KI-Modelle bieten Cyber-Kriminellen:

1. Automatisierte Erstellung von Phishing-Nachrichten
KI-Agenten könnten eine große Stückzahl an personalisierten Phishing-E-Mails generieren und versenden. Diese Nachrichten könnten auf den Schreibstil und die Vorlieben des jeweiligen Opfers zugeschnitten werden.

2. Erstellung von Deepfakes
KI-Agenten könnten verwendet werden, um Deepfake-Video- oder -Audio-Nachrichten zu erstellen, welche den Opfern bekannte Personen imitierten. Diese Deepfakes könnten dann in Phishing-Angriffen eingesetzt werden, um das Vertrauen der Opfer zu gewinnen und sie dazu zu bringen, sensible Informationen preiszugeben.

3. Automatisierte Analyse von und Anpassung an ihre Opfer
KI-Agenten könnten Daten aus früheren Angriffen analysieren und ihre Strategien kontinuierlich anpassen, um effektiver zu werden. Sie könnten auch in Echtzeit auf Reaktionen ihre Opfer reagieren und ihre Taktiken entsprechend ändern.

Mit KI-gestützten IT-Sicherheitslösungen kontern – auch und gerade im Bereich Anti-Phishing

Angesichts dieser „Angriffs-Revolution“ werden IT-Sicherheitsverantwortliche noch einmal deutlich nachrüsten müssen, rät Dr. Krämer: „Mit KI-gestützten IT-Sicherheitslösungen – auch und gerade im Bereich Anti-Phishing. Anders werden sich Cyber-Angriffe – vor allem diejenigen, die auf Schwachstellen im ,Human Risk Management’ setzen – immer seltener effektiv erkennen und abwehren lassen.“

Er unterstreicht: „Lösungen hierzu stehen längst parat. Phishing-Trainings, -Schulungen und -Tests für Mitarbeiter lassen sich mittlerweile – KI sei Dank – personalisieren und zugeschnitten auf die spezifischen Schwachstellen des einzelnen Mitarbeiters automatisiert zum Einsatz bringen.“ Zudem kombinierten moderne Anti-Phishing-E-Mail-Lösungen KI mit „Crowdsourcing“, um selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen auch in Zukunft gelingen, ihre „Human Risks“ im Griff zu behalten.

Weitere Informationen zum Thema:

ThreatDown Powered by Malwarebytes, 2025
2025 ThreatDown State of Malware / Threats that matter in the year of autonomous AI

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 11.02.2025
Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer / KI-Deepfakes gaukeln Opfern prominente Persönlichkeiten vor, welche angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen

datensicherheit.de, 27.01.2025
Deepfakes: Wie Internet-Nutzer täuschend echte Fälschungen erkennen können / Immer häufiger tauchen aktuell sogenannte Deepfakes auf, d.h. mit Künstlicher Intelligenz manipulierte Fotos und Videos

datensicherheit.de, 05.12.2024
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert / Deepfakes werden in Audio- und Video-Formaten vermehrt für Betrugsmanöver eingesetzt