[datensicherheit.de, 28.09.2025] „Bereits seit mehreren Monaten – so eine aktuelle Recherche von SentinelOne und Validin – machen Hacker mit einer neuen Variante der ,Contagious Interview’-Angriffskampagne von sich reden“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Arbeitssuchende der „Kryptowährungs“-Branche werden demnach „mit Fake-Stellenannoncen in Fake-Bewerbungsgespräche gelockt“, um dann – im Laufe des angeblichen Bewerbungsverfahrens – dazu verleitet zu werden, sich Malware auf ihre Systeme herunterzuladen. Effektiv helfen könne hierbei nur ein modernes „Human Risk Management“.

Foto: KnowBe4

Dr. Martin J. Krämer gibt zu bedenken: Statt auf „Kryptowährungen“ könnten sich Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren…

Fake-Stellenausschreibungen: Vor allem Marketing- und Finanzdienstmitarbeiter vor zwei Jahre betroffen

Die applizierte Malware ermögliche es den Angreifern dann, auf die Systeme ihrer Opfer zuzugreifen, Daten einzusehen und – „hier liegt derzeit ihr Angriffsschwerpunkt“ – „Kryptowährungen“ zu stehlen. Allein für den Zeitraum zwischen Januar und März 2025 hätten SentinelOne und Validin über 230 solcher Vorfälle registrieren können. „Die tatsächliche Zahl der Opfer dürfte noch einmal deutlich höher liegen. Auch Reuters hat bereits über die neue Kampagne berichtet“, so Krämer.

• Krämer blickt zurück: „Erstmals wurde die Cybersicherheitsszene vor knapp zwei Jahren auf ,Contagious Interview’-Kampagnen aufmerksam. Die Angriffe zielten auf High-End-Mitarbeiter, die mit dem Gedanken spielten, ihren Arbeitgeber zu wechseln.“ Vor allem Marketing- und Finanzdienstmitarbeiter seien dabei betroffen gewesen.

Der damalige Köder der Cyberkriminellen: „Fake-Stellenausschreibungen für interessante und lukrative Posten, wie Portfolio-Manager, Investmentmanager und Senior-Produktmanager, bei bekannten digitalen Finanz-Unternehmen, wie Archblock, Robinhood und eToro.“

„ClickFake“-Interviews basieren auf Social-Engineering-Technik namens „ClickFix“

Die aktuelle „Contagious Interview“-Kampagne, auch als „ClickFake“-Interview bezeichnet, setze eben auf eine Social-Engineering-Technik namens „ClickFix“: „Das anvisierte Opfer erhält eine Einladung zur Teilnahme an einem Bewerbungsverfahren und wird auf eine Lock-Website weitergeleitet, auf der es aufgefordert wird, an einer Kompetenzbewertung teilzunehmen.“

• Im Laufe der Prüfung erscheine dann auf dem Bildschirm des Bewerbers eine Fake-Fehlermeldung. „Das Opfer wird gebeten, mehrere Befehlszeilen zu kopieren und einzufügen – oftmals unter Verwendung von Dienstprogrammen wie ,curl’ – um ein angebliches Update von einem separaten Server herunterzuladen und auszuführen.“ Tatsächlich handele es sich hierbei aber um Malware, welche das Opfer dann unwissentlich installiere und aktiviere.

Eine Möglichkeit, die Aktivitäten der Angreifer einzudämmen, bestehe darin, deren Angriffs-Infrastruktur, die Fake-Bewerbungsseiten, abzustellen. Jedoch hätten die Experten von SentinelOne und Validin in ihrer Untersuchung festgestellt, dass die Angreifer über ausreichende Mittel verfügten, blockierte Infrastruktur rasch – „zu rasch“ – durch neue ersetzen können.

Zur Eindämmung der Bedrohung durch Fake-Stellenangebote den „Faktor Mensch“ adressieren

Krämer führt aus: „Aus diesem Grund raten die Experten, bei den Maßnahmen zur Eindämmung der Bedrohung, den ,Faktor Mensch’ nicht zu vernachlässigen. Dem kann nur zugestimmt werden!“ Das Sicherheitsbewusstsein der eigenen Mitarbeiter sei eine zentrale Größe im Kampf gegen Phishing- und „Spear Phishing“-Kampagnen wie diese.

• Der neue „ClickFix“-Phishing-Ansatz stelle ein ernsthaftes Sicherheitsrisiko dar – und das nicht allein für Beschäftigte der Krypto-Branche. Leicht könne die Angriffstechnik auch auf andere Branchen ausgedehnt werden, könnten Hochqualifizierte der unterschiedlichsten Industrien in den Angriffsfokus genommen werden.

Abschließend warnt Krämer: „Statt auf ,Kryptowährungen’ können sich die Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren, oder versuchen, über einen Mitarbeiter, der noch in einem Unternehmen arbeitet – sich aber bereits aktiv nach einem neuen Job umsieht – die IT-Systeme seines derzeitigen Arbeitgebers unter Kontrolle zu bekommen.“

Weitere Informationen zum Thema:

knowbe4
What is KnowBe4?

knowbe4, KnowBe4 Team, 18.09.2025
North Korean Hackers Target Job Seekers With ClickFix Attacks

knowbe4
KnowBe4 News und Wissenswertes: Dr. Martin J. Krämer / Recent Posts

IO sekoia blog, Amaury G. & Coline Chavane & Felix Aimé & Sekoia TDR, 31.03.2025
From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

datensicherheit.de, 28.07.2025
Cyberkriminelle missbrauchen Remote Management Tools für Attacken auf Jobsucher / „Remote Management Tools“ können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen

datensicherheit.de, 26.07.2024
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick / Anna Collard erläutert Betrugsversuche bei der Jobsuche in Sozialen Medien und entsprechende Warnsignale

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links

[datensicherheit.de, 19.09.2025] Offensichtlich bleibt die globale Cyberbedrohungslage weltweit weiterhin angespannt – laut dem aktuellen „Acronis Cyberthreats Update September 2025“ jedenfalls ist die Anzahl der blockierten schädlichen URLs auf Endpunkten im August 2025 im Vergleich zum Vormonat, Juli, um 20,6 Prozent gestiegen – „insgesamt waren es mehr als 13,8 Millionen“. Auch die Zahl der erkannten Malware-Angriffe sei gegenüber dem Vormonat um 9,2 Prozent gestiegen, „während mehr als 490 Datenschutzverletzungen gemeldet wurden“. In Deutschland habe der Anteil der Acronis-Nutzer mit erkannter Malware im August 2025 bei 5,8 Prozent – und damit über dem globalen Durchschnitt von 5,3 Prozent – gelegen. Die Schweiz sei mit einem Anteil von 4,4 Prozent ähnlich stark betroffen gewesen wie im Juli 2025 (4,3%) und jeweils unter dem globalen Durchschnitt geblieben.

Abbildung: ACRONIS / TRU

„Acronis Cyberthreats Update“: Zentrale Erkenntnisse zum August 2025

Monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“

Das „Acronis Cyberthreats Update“ stellt demnach monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“ (TRU) zur Verfügung, „damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können“.

• Dabei hätten Acronis-Lösungen mehr als 13,8 Millionen schädliche URLs blockiert, was einem deutlichen Anstieg um 20,6 Prozent gegenüber dem Vormonat (11,4 Millionen) entspreche. Auch der Anteil erkannter Malware auf Endpunkten habe im Vergleich zum Juli 2025 zugenommen – um 9,2 Prozent auf über 520.000 Aktivitäten im August.

Besonders aktiv seien die Malware-Varianten „Lumma“, „Agent Tesla“ und „Xworm“ gewesen. „Im Bereich Ransomware traten vor allem die Gruppen ,Quilin’ (87 bekannte Angriffe), ,Akira’ (56) und ,Warlock’ (31) in Erscheinung.“ Zudem seien Nutzer weltweit mit Datenschutzverletzungen konfrontiert gewesen – mit mehr als 490 gemeldeten Fällen jedoch etwas weniger als im Vormonat (515).

Weitere Erkenntnisse laut aktuellem „Acronis Cyberthreats Update“

• Insgesamt sei Malware im August 2025 bei 5,3 Prozent der Acronis-Kunden blockiert worden.
• In Deutschland habe die Malware-Erkennungsrate im August 2025 mit 5,8 Prozent über dem weltweiten Durchschnitt gelegen – die Schweiz sei hingegen auf einen Wert von 4,4 Prozent gekommen.
• Am häufigsten sei Malware in Peru, Indien und Bulgarien erkannt und blockiert worden.

„Die Analyse für August zeigt einen deutlichen Anstieg schädlicher URLs“, kommentiert Markus Fritz, „General Manager DACH“ bei Acronis. Er führt hierzu weiter aus: „Solche Entwicklungen verdeutlichen die Notwendigkeit ganzheitlicher Schutzmechanismen vor bekannten und unbekannten Bedrohungen. ,Acronis Cyber Protect Cloud’ schützt Unternehmen mit einem mehrschichtigen Ansatz, der verhaltensbasierte Erkennung, KI-gestützte Methoden und Anti-Ransomware-Heuristiken kombiniert.“

Acronis-Tipps zum Schutz vor aktuellen Bedrohungen:

• Regelmäßig Passwörter ändern!
• Einen verschlüsselten „Cloud“-Storage für vertrauliche Dateien nutzen!
• Eine robuste Sicherheitslösung (wie z.B. „Acronis Cyber Protect Cloud“) nutzen, welche einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken bietet!
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien (z.B. durch „Acronis Cyber Protect Cloud“) einführen!
• „Advanced eMail Security“ und URL-Filterung nutzen, um zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken zu erlangen!
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten!
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten prüfen!
• Fernzugriffssoftware kritisch überprüfen und Nutzung auf das notwendige Maß beschränken!

Weitere Informationen zum Thema:

TRU
About TRU Security / Intelligence-driven cyberthreat research and reporting / Empowering IT teams with cybersecurity Insights

TRU Acronis Threat Research Unit, Alexander Ivanyuk & Irina Artioli, 11.09.2025
Acronis Cyberthreats Update, September 2025

IT-BUSINESS, 12.06.2024
Neuer General Manager DACH bei Acronis / Markus Fritz ist DACH-Chef von Acronis

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 03.09.2025] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, welche auf „Stealerium“ basieren – einem 2022 auf „GitHub“ – veröffentlichten sogenannten Info-Stealer auf Open-Source-Basis. Solche ein frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht – könne zwar Sicherheitsforschern helfen, werde indes auch von Cyberkriminellen missbraucht, angepasst und weiterentwickelt. Dadurch entstehen offenkundig zahlreiche, schwerer zu erkennende Varianten. Neben „Stealerium“ selbst gebe es weitere Malware mit erheblichem Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“. Proofpoint fasst diese demnach unter dem Oberbegriff „Stealerium“ zusammen.

Abbildung: ds-Screenshot von Website „GitHub“ (03.09.2025)

„Stealerium“ als frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht

Aufleben der Angriffe: „Stealerium“ im Mai 2025 wieder verstärkt bei E-Mail-Bedrohungsdaten aufgetaucht

Nach einer Phase geringer Aktivität hätten Proofpoint-Experten „Stealerium“ im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden können. Auslöser sei eine Kampagne der Gruppe „TA2715“ gewesen – kurz darauf sei „TA2536“ gefolgt. „In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.“

• Die Angreifer hätten unterschiedlichste Themen als Köder genutzt – darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen und das Thema „Hochzeit“. Die Absender hätten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister imitiert. In den Betreffzeilen sei auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen worden.

Technisch seien komprimierte EXE-Dateien, „JavaScript“- und „VBScript“-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. „Beispiele sind eine ,TA2715‘-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine ,Xerox Scan’-Mail.“ Auch juristische Drohungen mit angeblichen Gerichtsterminen seien genutzt worden, um Opfer zum Klicken zu verleiten.

„Stealerium“ ist in „.NET“ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen

Nach der Ausführung sammele „Stealerium“ zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken – teils ergänzt durch „PowerShell“-Befehle zur Manipulation von „Windows Defender“ und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchten die „Remote Debugging“-Funktion von „Chrome“, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie „Cookies“ oder Passwörter zu stehlen.

• „,Stealerium’ ist in ,.NET’ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege – am häufigsten per SMTP, daneben über ,Discord-Webhooks’, die ,Telegram’-API, den Filehosting-Dienst ,Gofile’ und die Chat-Plattform ,Zulip’.“ Kostenlose „Cloud“-Dienste wie „Gofile“ erleichterten den unauffälligen Abfluss großer Datenmengen. „Zulip“ sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.

Die „Stealerium“-Malware sei hochgradig konfigurierbar. Die Konfiguration enthalte „C2“- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per „AES“ verschlüsselt. „Stealerium“ nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. „Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen ,GitHub’-Repositories nachzuladen.“

„Phantom Stealer“ als Variante derselben Bedrohung

„Phantom Stealer“ habe große Teile des Codes mit „Stealerium“ gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. „Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet.“ Auch „Warp Stealer“ weise deutliche Überschneidungen auf. „Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.“

• Die Aktivitäten zwischen Mai und Juli 2025 zeigten, dass „Stealerium“ und seine Varianten weiterhin aktiv in Angriffen eingesetzt würden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche „PowerShell“-Nutzung zur Manipulation von „Defender“-Einstellungen und „headless“ „Chrome“-Prozesse achten.

Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie „Discord“, „Telegram“ oder „Gofile“ zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lasse sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint, Rob Kinner & Kyle Cucci & The Proofpoint Threat Research Team, 03.09.2025
Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

datensicherheit.de, 28.07.2025
Lumma Stealer back in CyberSpace – als neue, verbesserte Version / „Lumma“ hatte lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten gegolten

datensicherheit.de, 23.06.2025
Amatera Stealer: Neue Bedrohung aus dem Netz umgeht moderne Sicherheitslösungen / Der „Amatera Stealer“, ein neuer hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, warnt Proofpoint

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 29.08.2025] Laut einer aktuellen Warnung von ESET hat Schadsoftware quasi die nächste Stufe ihrer Evolution erreicht: ESET-Forscher haben nach eigenen Angaben kürzlich eine Ransomware entdeckt, welche mit Hilfe Künstlicher Intelligenz (KI) selbständig arbeitet. ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft „PromptLock“ unter dem Namen „Filecoder.PromptLock.A“ ein. Diese Malware kann demnach autonom entscheiden, welche Dateien sie durchsucht, kopiert und verschlüsselt.

[eset-promptlock.jpg]
Abbildung: ESET

Ransomware entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden

ESET-Sicherheitsexperten haben nach eigenen Angaben eine neue Schadsoftware entdeckt, welche KI erstmals gezielt für Ransomware nutzt: „Das Programm mit dem Namen ,PromptLock’ verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen.“

• Genau dies mache es so besonders: „Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist ,PromptLock’ ein deutliches Warnsignal!“ Diese Software generiere sogenannte Lua-Skripte, welche plattformübergreifend auf „Windows“, „Linux“ und „macOS“ funktionierten.

Je nach System durchsuche „PromptLock“ lokale Dateien, analysiere sie und entscheide anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv.

Ransomware laut ESET nur ein Vorgeschmack auf das, was noch kommen könnte

„Für die Verschlüsselung verwendet ,PromptLock’ den ,SPECK’-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache ,Golang’. Erste Varianten sind auf der Analyseplattform ,VirusTotal’ aufgetaucht.“ Zwar geht ESET derzeit davon aus, „dass es sich um ein ,Proof-of-Concept’ handelt – also um eine Art Machbarkeitsstudie“ – doch die Gefahr sei real.

• „Das Aufkommen von Werkzeugen wie ,PromptLock ist eine bedeutende Veränderung in der Cyberbedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen“, kommentiert Anton Cherepanov, IT-Sicherheitsforscher bei ESET. Er gibt zu bedenken: „Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen.“

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, welches lokal über eine API (Standardisierte Programmierschnittstelle) angesteuert wird. Die KI erstelle die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur „Cloud“. Selbst die „Bitcoin“-Adresse für die Erpressung sei im Prompt eingebaut – diese führe kurioserweise zu einer scheinbar dem „Bitcoin“-Erfinder Satoshi Nakamoto gehörenden „Wallet“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Anton Cherepanov / Senior Malware Researcher

infosec.exchange, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes…

X, ESET Research, 26.08.2025
The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs:

X, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. / The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 23.07.2025] Wenn kulinarische Rezepte und Malware aufeinandertreffen, wird das Ergebnis wohl eher unbekömmlich sein: „Der Fall der gefälschten App ,RecipeLister’, den BlueVoyant untersucht hat, zeigt eindrucksvoll, wie einfach Angreifer ihre wahren Absichten hinter einer scheinbar harmlosen Anwendung verbergen können.“ Auf den ersten Blick scheine „RecipeLister“ genau das zu bieten, was sie verspricht – eine umfangreiche Bibliothek internationaler Rezepte, verpackt in einer benutzerfreundlichen „Windows“-App. Tatsächlich bestätigten die Sicherheitsforscher demnach, dass diese App eine große und gut strukturierte Sammlung von Rezepten bereithält – und genau dort aber hätten die Angreifer ihre Schadsoftware versteckt.

„RecipeLister“-App – raffiniertes Werkzeug für verdeckte Cyberangriffe

Die Bedrohungsakteure scheuten keinen Aufwand, um ihre Software möglichst seriös zu gestalten und attraktiv für Endnutzer zu machen. „Mithilfe von Malvertising und SEO-Poisoning – Techniken, mit denen Suchmaschinen und Online-Werbung manipuliert werden, um schädliche Inhalte nach oben zu spülen – platzierten sie ,RecipeLister’ gezielt auf den vorderen Plätzen der Suchergebnisse, wie auch Blumira berichtete.“

• „RecipeLister“ habe sich als kostenlose „Windows“-Anwendung mit einer umfangreichen Sammlung internationaler Rezepte präsentiert. „Auf den ersten Blick wirkte die App vertrauenswürdig – digital signiert, sauber verpackt und über Suchanzeigen sowie seriös wirkende Webseiten verbreitet“.

Nach der Installation schien sie ihr Versprechen einzulösen und habe den Nutzern einen funktionierenden Rezept-Browser versprochen. „Doch hinter der makellosen Oberfläche verbarg sich ein ausgeklügelter Mechanismus, um unbemerkt Schadcode auf die Systeme der Nutzer zu schleusen.“ Die Untersuchung habe gezeigt: „,RecipeLister’ war weit mehr als ein digitaler Küchenhelfer – sie war ein raffiniertes Werkzeug für verdeckte Cyberangriffe.“

Verschleierung: App lud Inhalte von entferntem Server, welche auf den ersten Blick wie gewöhnliche Rezepte wirkten

Die eigentliche Raffinesse von „RecipeLister“ habe in der Art und Weise gelegen, „wie der Schadcode versteckt wurde“ – genau dort, wo ihn niemand vermuten würde, nämlich mitten in den Rezeptdaten selbst.

• „Die App lud Inhalte von einem entfernten Server, die auf den ersten Blick wie gewöhnliche Rezeptbeschreibungen wirkten. Tatsächlich aber waren in diesen Daten unsichtbare Nullbreiten-Unicode-Zeichen verborgen, für Menschen nicht wahrnehmbar, die zusammen einen verschlüsselten String bildeten. Dieser wurde anschließend mit einem fest eingebauten Schlüssel entschlüsselt und im Hintergrund ausgeführt – das betroffene System wurde so unbemerkt zum Wirt beliebiger Schadsoftware.“

Basierend auf Steganografie, also dem Verbergen von Informationen im Sichtbaren, sei diese Malware lange unentdeckt geblieben und habe sich weiterhin als harmlose App tarnen können.

Bevor man Apps herunterlädt und installiert sollte man genau potenzielle Nutzen und Risiko abwägen

Anders als typische Malware, die sofort zuschlägt, habe sich „RecipeLister“ Zeit gelassen. In unregelmäßigen Abständen habe diese App den Server kontaktiert, geprüft, ob eine neue „Payload“ vorlag, und versucht, diese zu entschlüsseln und auszuführen, „sobald die Bedingungen stimmten“. Schlug die Entschlüsselung fehl, habe sie geduldig und unauffällig abgewartet, um es später erneut zu versuchen. Diese langsame, berechnende Vorgehensweise habe es der Schadsoftware ermöglicht, gängige Sicherheitsmechanismen zu umgehen und über lange Zeit unbemerkt zu bleiben.

• „RecipeLister“ sei eine eindringliche Mahnung vor den verborgenen Risiken vermeintlich harmloser „Freeware“. Der raffinierte Einsatz unsichtbarer Zeichen und die verzögerte Angriffsstrategie zeigten, wie weit Angreifer gingen, um unentdeckt zu bleiben. „Die Botschaft für Nutzer ist eindeutig: Selbst die alltäglichste Software kann zur Sicherheitsbedrohung werden, wenn blindes Vertrauen Wachsamkeit ersetzt!“

Bevor man eine Anwendung herunterlädt und installiert – so unbedeutend sie auch erscheinen mag – sollte man folglich genau abwägen, „ob der potenzielle Nutzen das Risiko tatsächlich rechtfertigt“.

Weitere Informationen zum Thema:

BlueVoyant, Blog, Thomas Elkins, 17.07.2025
RecipeLister: A Recipe for Disaster

Blumira, Taylor Jacobson, 29.05.2025
Verdächtiger Code-Alarm: Rezept App entführt Anmeldeinformationen und scheint C&C-Verbindung zu etablieren

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 20.02.2025
Neue Bedrohungsakteure: Fake-Update-Angriffe zum Malware-Upload / Angreifer setzen zunehmend für verschiedene Plattformen optimierte maßgeschneiderte Malware ein

datensicherheit.de, 29.05.2024
Gipy: Malware tarnt sich als KI-Tool und stiehlt Passwörter sowie Daten / Auch Deutschland im Gipy-Visier – unter den fünf am häufigsten betroffenen Ländern

[datensicherheit.de, 15.07.2025] Sicherheitsexperten für Echtzeitschutz auf Mobilgeräten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich demnach einer Entdeckung auf „Android“-Endgeräten raffiniert entzieht: Zimperium warnt in einer aktuellen Stellungnahme, dass diese neueste Version fortschrittliche Verschleierungs- und Umgehungstaktiken auf ZIP-Ebene nutze, wodurch die Schadsoftware deutlich schwieriger zu erkennen und analysieren sei als bisherige Varianten.

Zimperiums „zLabs“-Sicherheitsforscher: „Konfety“-Malware-Kampagne nutzt Dual-App-Strategie

Zimperiums „zLabs“-Sicherheitsforschern zufolge verfolgt diese „Konfety“-Malware-Kampagne eine Dual-App-Strategie: „Der Paketname wird sowohl für eine harmlose ,Play Store’-App als auch für eine bösartige Version verwendet, die über Drittanbieterquellen verbreitet wird. Auf diese Weise sollen Benutzer getäuscht und herkömmliche Erkennungsmethoden umgangen werden.“

Darüber hinaus entziehe sich das Schadprogramm der Analyse durch Sicherheitstools, „indem die Struktur des APK-Installationspakets manipuliert, nicht unterstützte Komprimierungsformate benannt und ZIP-Header manipuliert werden“.

„Konfety“ Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern

„Es handelt sich hier nicht um eine Wiederholung von Bedrohungsmechanismen – wir sehen ein professionell gestaltetes Update, um Sicherheitsanalysten austricksen und automatisierten Security-Tools ausweichen zu können“, erläutert Nico Chiaraviglio, „Chief Scientist“ bei Zimperium. „,Konfety’ ist ein Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern und mobile Schadprogramme weiterentwickeln“, so Chiaraviglio.

Raffinierte Verschleierungsmechanismen:

• Dynamisches Code-Loading
  Bösartiger Code werde entschlüsselt und erst zur Laufzeit ausgeführt, um sich vor herkömmlichen Scans verbergen zu können.
• Fake-App-Verhalten
  Die Malware unterdrücke ihr App-Symbol, ahme legitime App-Metadaten nach und leite Benutzer durch die Infrastruktur für Anzeigenbetrug um.
• Verschleierung auf ZIP-Ebene
  Integrierte Techniken bewirkten, dass gängige Analysetools abstürzten oder die APK-Datei fälschlicherweise als passwortgeschützt bzw. falsch formatiert eingestuft würden.

Zimperium-Analyse: „Konfety“-Entwickler mit hohem Maß an Raffinesse

Die Zimperium-Analyse habe ergeben, dass „Konfety“ das „CaramelAds SDK“ nutze, um heimlich Nutzdaten übertragen, dauerhafte Spam-Browser-Benachrichtigungen verbreiten und Betrug erleichtern zu können. Diese Kampagne setze regionsspezifische Verhaltensweisen ein, um europäische Nutzer aggressiv auf verdächtige Webseiten umzuleiten.

„Konfety“ manipuliere die APK-ZIP-Struktur von „Android“ auf eine Weise, welche beliebte Reverse-Engineering-Tools abstürzen lasse. Damit setzten die Entwickler ein neues Maß an Raffinesse bei Umgehungstaktiken mobiler Malware um.

Weitere Informationen zum Thema:

ZIMPERIUM
Konfety Returns: Classic Mobile Threat with New Evasion Techniques

ZIMPERIUM
The World Leader in Mobile Device & Application Security / New: 2025 Global Mobile Threat Report

ZIMPERIUM
Zimperium Blog

The Hacker News, Ravie Lakshmanan, 16.07.2024
‚Konfety‘ Ad Fraud Uses 250+ Google Play Decoy Apps to Hide Malicious Twins

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 04.01.2024]
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert

[datensicherheit.de, 07.07.2025] Die Bedrohungslandschaft für mobile Endgeräte hat sich seit Jahresbeginn 2025 offenbar deutlich nachteilig verändert – so haben Sicherheitsforscher von Malwarebytes nach eigenen Angaben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt. Bedrohungen durch „Spyware“ hätten sich mit 147 Prozent auch mehr als verdoppelt. Die Anzahl an SMS-Nachrichten mit einem Link zu schädlichen Inhalten sei sogar um 692 Prozent gestiegen.

Infizierte Apps werden über offizielle wie inoffizielle App-Stores verbreitet

Diese Zahlen zeigten, dass Cyberkriminelle ihre Strategie angepasst hätten. Die Angreifer skalierten ihre Aktivitäten – und Banking-Trojaner sowie sogenannte Spyware hätten lange Zeit vorherrschende Schadsoftware für Mobilgeräte wie „Adware“ oder „Riskware“ abgelöst. Die infizierten Apps würden dabei sowohl über offizielle als auch inoffizielle App-Stores verbreitet.

„Angreifer wissen, dass wir unseren Smartphones vertrauen“, sagt Shahak Shalev, „Senior Director of Research and Development Online Plattformen“ bei Malwarebytes. Er führt zur Bedeutung der alltäglichen Smartphone-Nutzung aus: „Wir machen unser Banking mit ihnen, weisen uns damit aus und speichern unser gesamtes digitales Leben darauf.“

Auf über 30% der „Android“-Geräte läuft ein veraltetes Betriebssystem

Umso wichtiger werde es, die Geräte stets auf dem aktuellsten Stand zu halten. In vielen Fällen geschehe dies jedoch nicht. Auf über 30 Prozent der „Android“-Geräte laufe ein veraltetes Betriebssystem, für welches es keine Software-Updates mehr gebe. „Trotzdem werden diese Geräte im Alltag eingesetzt.“

Was „Android“-Nutzer also tun können, um sich vor Schadsoftware zu schützen – hier die wichtigsten Regeln:

• Apps nur aus dem offiziellen „Google Play Store“ herunterladen!
• Vorsichtig sein, welche Zugriffsrechte man einer neu installierten App einräumt!
• Benachrichtigungen von Webseiten soweit es geht einschränken und keine Berechtigung erteilen!
• Aktuelle Security-Software auf „Android“-Geräten verwenden!

Weitere Informationen zum Thema:

Malwarebytes LABS, Pieter Arntz, 30.06.2025
Android threats rise sharply, with mobile malware jumping by 151% since start of year

datensicherheit.de, 04.01.2024
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert

datensicherheit.de, 20.07.2021
Stalkerware zur Spionage unter Android: Abwehr ist machbar / AV-TEST Institut untersuchte Security-Apps gegen Stalkerware

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender / Multi-funktionaler WAPDropper meldet Android-Nutzer für kostenpflichtige Abonnements an

[datensicherheit.de, 23.06.2025] Der „Amatera Stealer“, ein neue, hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, so eine Warnung von Proofpoint: Es handelt sich demnach um eine Weiterentwicklung des bekannten „ACR Stealer“ und ist jüngst in den Fokus der Proofpoint-Forscher geraten, die nun eine ausführliche Untersuchung dazu veröffentlicht haben. Mit ausgefeilten Tarnmechanismen und einer bemerkenswerten Angriffskette markiere diese Malware einen neuen Höhepunkt in der Professionalisierung von Cybercrime-Dienstleistungen im sogenannten Malware-as-a-Service-Modell (MaaS).

Abbildung: Proofpoint

Proofpoint-Experten warnen vor „Amatera Stealer“ – dem neugestalteten „ACR Stealer“ mit verbessertem Umgehungsvermögen und mehr Raffinesse

Verbreitung von „Amatera“ vor allem über kompromittierte Webseiten

Während der ursprüngliche „ACR Stealer“ bereits als ernstzunehmende Bedrohung gegolten habe, hebe sich „Amatera“ durch zahlreiche technische Neuerungen und einen noch stärkeren Fokus auf die Umgehung moderner Sicherheitslösungen deutlich ab.

• Derzeit erfolge die Verbreitung des „Amatera Stealer“ vor allem über kompromittierte Webseiten, welche von den Angreifern mit bösartigem Code infiziert würden.

Besonders hervorzuheben sei auch der Einsatz von „Social Engineering“ in diesem Zusammenhang: „Nutzer werden beispielsweise durch täuschend echte CAPTCHA-Abfragen dazu verleitet, bestimmte Tastenkombinationen auszuführen.“ Diese Tastenkombinationen seien jedoch „PowerShell“-Befehle und starteten im Hintergrund unbemerkt die „PowerShell“-Konsole. Auf diesem Weg werde dann die eigentliche Schadsoftware nachgeladen.

„Amatera“ verzichtet auf DNS-Anfragen und tarnt seinen Datenverkehr

„Dieser mehrstufige Infektionsweg, bei dem legitime Prozesse und verschachtelte, stark verschleierte Skripte ineinandergreifen, erschwert nicht nur die Erkennung durch klassische Schutzsysteme, sondern stellt auch eine Herausforderung für die forensische Analyse durch Sicherheitsteams dar.“

• Was „Amatera“ besonders gefährlich mache, sei seine Fähigkeit, etablierte Überwachungs- und Abwehrmechanismen gezielt zu umgehen. „So nutzt die Malware zur Kommunikation mit ihren Kontrollservern keine herkömmlichen ,Windows’-Netzwerkfunktionen, sondern greift direkt auf tieferliegende Systemkomponenten zu.“

Dadurch würden viele Endpoint-Detection-Lösungen schlicht ausgehebelt. Zudem verzichte „Amatera“ auf DNS-Anfragen und tarne seinen Datenverkehr hinter IP-Adressen großer Content-Delivery-Networks wie „Cloudflare“. Dieses Vorgehen erschwere Blockierungsmaßnahmen zusätzlich und mache den Datenabfluss kaum erkennbar. „Auch die Nutzung dynamischer Systemaufrufe trägt dazu bei, dass gängige Analyse- und ,Sandboxing’-Technologien ins Leere laufen.“

„Amatera“ gelingt es, spezielle Schutzmechanismen moderner Browser zu unterlaufen

Im Zentrum der Aktivitäten stehe das Sammeln und der Diebstahl sensibler Informationen. Das Spektrum der ausgespähten Inhalte reiche dabei von Browserdaten und Zugangsdaten für „Krypto-Wallets“, Passwortmanager und Messenger-Apps bis hin zu E-Mail- und FTP-Zugangsdaten. Dabei gelinge es „Amatera“ sogar, spezielle Schutzmechanismen moderner Browser zu unterlaufen, indem gezielt sogenannter Shellcode in laufende Prozesse eingeschleust werde.

• Die Steuerung und Aktualisierung der Funktionen erfolgten flexibel über Konfigurationsdateien, welche von den Angreifern zentral bereitgestellt würden. Dadurch könne die Malware jederzeit an neue Anforderungen angepasst werden.

Die rasante Weiterentwicklung und Modularität von „Amatera Stealer“ verdeutliche einmal mehr, „wie wichtig es für Unternehmen und deren Security-Verantwortliche ist, die aktuelle Bedrohungslage im Blick zu behalten und die Sensibilisierung der eigenen Mitarbeiter für Cybersecurity-Gefahren nicht als einmalige Maßnahme, sondern als kontinuierlichen Prozess zu begreifen!“

Weitere Informationen zum Thema:

proofpoint, Jeremy Hedges & Tommy Madjar & Proofpoint Threat Research Team, 16.06.2025
Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

malpedia, 10.06.2025
Amatera

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware / Neu registrierte Domains als mögliche Quellen für neue Malware-Kampagnen

[datensicherheit.de, 09.06.2025] Eine neue Untersuchung von NordVPN offenbart demnach eine alarmierende Entwicklung im Bereich der Cybersicherheit: Weltweit seien fast 94 Milliarden sogenannte Cookies durch Malware gestohlen worden – dies sei ein Anstieg von 74 Prozent im Vergleich zum Vorjahr. Auch Deutschland sei betroffen: Über 1,3 Milliarden Cookies deutscher Nutzer seien im sogenannten Darknet entdeckt worden – mehr als 109 Millionen davon seien noch aktiv und könnten als digitale Zugangsschlüssel missbraucht werden. Die Daten wurden von „NordStellar“, einer Plattform für das Management von Bedrohungsrisiken, analysiert. Die Untersuchungen fanden zwischen dem 23. und 30. April 2025 statt. „Grundlage war öffentlich zugängliches Material aus Telegram-Kanälen, in denen Hacker gestohlene Daten zum Verkauf anbieten. Das entstandene Datenset umfasste Informationen zu 93,76 Milliarden Cookies.“ Analysiert worden seien u. a. deren Aktivitätsstatus, Herkunftsland, eingesetzte Malware, Betriebssysteme der Nutzer sowie enthaltene Metadaten. „NordVPN hat keine gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen, sondern lediglich untersucht, welche Arten von Daten darin enthalten waren.“

Cookies in den falschen Händen sind digitale Schlüssel zu unseren sensibelsten Informationen

Die aktuelle Untersuchung von NordVPN zeigt: „Der Diebstahl von Cookies hat weltweit massiv zugenommen – von 54 Milliarden im Vorjahr zu fast 94 Milliarden. Deutschland belegt im globalen Vergleich Platz 19 von 253 Ländern.“ Über 1,3 Milliarden Cookies deutscher Nutzer seien im „Darknet“ entdeckt worden, wovon noch mehr als 109 Millionen aktiv und mit realen Nutzeraktivitäten verknüpft seien.

„Cookies mögen harmlos erscheinen, aber in den falschen Händen sind sie digitale Schlüssel zu unseren sensibelsten Informationen“, warnt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN. Er erläutert: „Was einst zur Verbesserung des Surferlebnisses gedacht war, hat sich zu einer Schwachstelle entwickelt, die Cyberkriminelle weltweit gezielt ausnutzen können.“

Bequemlichkeit mit hohem Preis – die unsichtbare Gefahr beim alltäglichen Surfen

Unter „Cookies“ werden kleine Textdateien verstanden, welche von Websites im Browser gespeichert werden, um etwa Anmeldedaten, Einstellungen oder Warenkörbe zu hinterlegen. Sie ermöglichen so ein komfortableres Surferlebnis, etwa durch schnellere Ladezeiten und personalisierte Inhalte. Cookies könnten jedoch auch von Hackern ausgenutzt werden, um persönliche Daten zu stehlen und auf sichere Systeme zuzugreifen.

Cyberkriminelle könnten also Cookies gezielt nutzen, um Sitzungen zu kapern, Identitäten zu stehlen und Sicherheitsmechanismen zu umgehen. „Viele verstehen nicht, dass ein gestohlener Cookie genauso gefährlich sein kann wie ein gestohlenes Passwort“, stellt Warmenhoven klar und gibt zu bedenken: „Ein kompromittierter Cookie kann es Angreifern ermöglichen, ganz ohne Anmeldung direkten Zugriff auf Konten und sensible Daten zu erlangen.“

Gezielte Malware-Kampagne nimmt personenbezogene Daten ins Visier

Diese Untersuchung von NordVPN habe eine massive Malware-Kampagne aufgedeckt, bei der fast 94 Milliarden Cookies gestohlen worden seien – ein Anstieg von 74 Prozent gegenüber dem Vorjahr (54 Milliarden). Besonders alarmierend sei: 20,55 Prozent dieser Cookies seien noch aktiv und stellten damit ein anhaltendes Risiko für die Privatsphäre der Nutzer dar. Der Großteil der gestohlenen Cookies stamme von großen Plattformen wie „Google“ (4,5 Mrd.), „YouTube“ (1,33 Mrd.), sowie „Microsoft“ und „Bing“ (jeweils über 1 Mrd.).

Auch die Zahl der offengelegten personenbezogenen Daten sei drastisch gestiegen: „2024 wurden 10,5 Milliarden zugewiesene IDs, 739 Millionen Sitzungs-IDs, 154 Millionen Authentifizierungstoken und 37 Millionen Anmeldedaten entdeckt. 2025 schnellten die Zahlen stark nach oben: Es wurden 18 Milliarden zugewiesene IDs und 1,2 Milliarden Sitzungs-IDs offengelegt.“ Diese Datentypen seien für die Identifizierung von Nutzern und die Sicherung von Online-Konten von entscheidender Bedeutung und daher für Cyberkriminelle äußerst wertvoll.

Anzahl der Malware-Varianten verdreifacht

Die betreffenden Cookies seien mithilfe von 38 verschiedenen Malware-Typen entwendet worden – mehr als dreimal so viele wie noch 2024. Am aktivsten waren laut NordVPN: „Redline“ (41,6 Milliarden „Cookies“), „Vidar“ (zehn Milliarden „Cookies“) und „LummaC2“ (neun Milliarden Cookies).

Diese Malware-Familien seien dafür bekannt, von Cyberkriminellen eingesetzt zu werden, um Anmeldedaten, Passwörter und andere sensible Daten zu stehlen. Zusätzlich seien 26 neue Malware-Typen wie etwa „RisePro“ und „Stealc“ entdeckt worden, „die 2024 noch nicht aufgetreten waren – ein deutlicher Hinweis auf die rasante Weiterentwicklung von Cyberkriminalität“.

Cyberrisiko in Deutschland höher als oftmals vermutet: Über 109 Millionen real genutzte Cookies

Die gestohlenen Cookies stammten von Nutzern aus 253 Ländern weltweit. Deutschland verzeichne von über 1,3 Milliarden zwar nur 8,25 Prozent aktive Cookies, doch das entspreche über 109 Millionen real genutzter Cookies, welche Kriminellen als digitale Zugangsschlüssel dienen könnten. „Das sind Millionen Menschen, die potenziell von Cyberkriminalität betroffen sind“, verdeutlicht Warmenhoven. Um sich eben gegen Datenlecks und Malware zu wappnen, sollten Nutzer einige grundlegende Sicherheitsmaßnahmen beachten:

• Starke, individuelle Passwörter verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Persönliche Informationen nur mit Bedacht weitergeben!
• Keine verdächtigen Links anklicken und keine unbekannten Dateien herunterladen!
• Regelmäßig Website-Daten löschen und Geräte aktualisieren!

„Normalerweise schließen Nutzer den Browser, aber die Sitzung bleibt weiterhin gültig. Der Cookie bleibt gespeichert. Wenn die Daten dieser Website nie gelöscht werden, bleibt die Sitzung so lange gültig, wie es der Website-Betreiber für sicher hält“, erläutert Warmenhoven. Schon einfache Maßnahmen könnten das Risiko eines unbefugten Zugriffs deutlich verringern. „Es ist nur ein geringer Zeitaufwand, der vor großen Bedrohungen schützen kann!“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 27.05.2025
Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

NordStellar
Know what hackers know / Full cyber threat visibility for business

datensicherheit.de, 06.12.2022
Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden / Websites vorgeschalteten Cookie-Banner in Verruf geraten

datensicherheit.de, 12.07.2020
Cookie-Einwilligung: Vorangekreuzte Check-Boxen unzulässig / Mareike Vogt erklärt, worauf Unternehmen jetzt achten sollten

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies / Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten notwendig

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung / Grundsatzentscheidung vom 1. Oktober 2019 erschwert laut MITTELSTANDSVERBUND das Online-Geschäft

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen / Palo Alto Networks entdeckt „gefährliches Cyber-Krümelmonster“

[datensicherheit.de, 01.06.2025] Laut einer aktuellen Acronis-Meldung von Ende Mai 2025 hat sich die Bedrohungslage durch Cyberangriffe in Deutschland 2024 strukturell verändert: Wie aktuelle Zahlen von Acronis demnach zeigen, war Malware im vergangenen Jahr die dominierende Bedrohung – durchschnittlich 23,7 Prozent der Acronis-Nutzer in Deutschland waren monatlich betroffen, fast doppelt so viele wie noch 2023 mit zwölf Prozent. Dagegen hätten Angriffe mittels Ransomware im Januar 2024 im Vergleich zu Dezember 2023 einen Rückgang um 80 Prozent verzeichnet. „Dieser Trend hielt das ganze Jahr über an: In jedem Monat 2024 lagen die Ransomware-Erkennungen deutlich unter denen des gleichen Zeitraums im Vorjahr.“

Laut der „Acronis Threat Research Unit setzen Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken

Die Telemetriedaten von Acronis zeigten einen Anstieg der Malware-Angriffe in Deutschland im Jahr 2024 an. Die durchschnittliche Erkennungsrate habe im Jahresverlauf bei 23,7 Prozent gelegen, was fast eine Verdopplung im Vergleich zum Vorjahr darstelle, als nur zwölf Prozent der Acronis-Nutzer von Malware betroffen gewesen seien.

• „Diese Zunahme wurde durch verschiedene Faktoren beeinflusst und zeigt, dass Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken setzen.“

Laut der „Acronis Threat Research Unit“ (TRU) ist die veränderte Bedrohungslage auf eine Kombination aus verstärkten Abwehrmaßnahmen gegen Ransomware und einem strategischen Wandel aufseiten der Angreifer zurückzuführen:

• „Statt auffälliger Erpressungstaktiken setzen Cyberkriminelle zunehmend auf versteckte Infektionswege, ,Info-Stealer’ und dateilose Angriffe, die schwieriger zu erkennen und abzuwehren sind.“

Nach Acronis-Erkenntnissen bestimmten saisonale Schwankungen Malware-Bedrohungslage

Im Jahresverlauf 2024 seien saisonale Schwankungen bei den Malware-Erkennungsraten zu beobachten gewesen. „Der höchste Anstieg erfolgte im April, als die Erkennungsrate mit 27,5 Prozent den höchsten Punkt des Jahres erreichte. Ein Rückgang war im Juni zu verzeichnen, als die Erkennungsrate auf 22,5 Prozent sank.“

• Dies könnte durch die reduzierten Geschäftstätigkeiten während der Sommermonate sowie eine zunehmende Nutzung von versteckten Malware-Techniken wie sogenannten Info-Stealern und dateilosen Angriffen bedingt gewesen sein.

„Der Herbst und Winter 2024 brachten jedoch erneut einen deutlichen Anstieg. Im November stieg die Erkennungsrate auf 25,3 Prozent und im Dezember erreichte sie mit 26,7 Prozent ihren höchsten Wert des Jahres.“

• Dies könnte mit saisonalen Ereignissen wie „Black Friday“, dem Weihnachtsshopping und den häufigeren finanziellen Jahresabschlüssen zusammenhängen, bei denen Cyberkriminelle verstärkt auf gezielte Angriffe setzten, um von den erhöhten Online-Transaktionen und sensiblen Geschäftsdaten zu profitieren.

Acronis berichtet von Rückgang bei Ransomware-Erkennungen im Jahr 2024

Die Zahl der Ransomware-Erkennungen sei im Jahr 2024 deutlich zurückgegangen – „im Januar 2024 wurden lediglich 896 Angriffe registriert, im Vergleich zu 4.387 im Januar 2023, was einem Rückgang von fast 80 Prozent entspricht“. Dieser Trend habe sich über das gesamte Jahr fortgesetzt:

• „In jedem Monat 2024 waren die Ransomware-Erkennungen deutlich niedriger als in den entsprechenden Monaten des Vorjahres. Diese Entwicklung deutet auf einen signifikanten Rückgang der Ransomware-Aktivitäten hin, was möglicherweise auf verbesserte Cybersicherheitsmaßnahmen und verstärkte Strafverfolgungsmaßnahmen zurückzuführen ist.“

Gleichzeitig könnten Angreifer indes zunehmend auf subtilere Taktiken wie Lieferketten-Kompromittierungen und Daten-Erpressung setzen, um ihre Ziele zu erreichen. „Der deutliche Anstieg von Malware-Erkennungen bei gleichzeitiger Verlagerung der Angreiferstrategien weg von Ransomware zeigt: Cyberkriminalität wird leiser – aber keinesfalls harmloser“, so Markus Fitz, „DACH GM“ von Acronis.

• Unternehmen und Nutzer sollten ihre Schutzmaßnahmen anpassen, regelmäßige Updates durchführen, mehrstufige Authentifizierung nutzen und verdächtige Aktivitäten frühzeitig erkennen. „Die Bedrohungen entwickeln sich weiter – und Abwehrmaßnahmen müssen das auch!“, betont Fitz abschließend

Weitere Informationen zum Thema:

Acronis
Whitepaper: „Kurzfassung: Acronis Cyberthreats Report (2. Halbjahr 2024)“

Acronis
Whitepapers: „Acronis Cyberthreats Report, H2 2024: The rise of AI-driven threats“

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich