[datensicherheit.de, 03.09.2025] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, welche auf „Stealerium“ basieren – einem 2022 auf „GitHub“ – veröffentlichten sogenannten Info-Stealer auf Open-Source-Basis. Solche ein frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht – könne zwar Sicherheitsforschern helfen, werde indes auch von Cyberkriminellen missbraucht, angepasst und weiterentwickelt. Dadurch entstehen offenkundig zahlreiche, schwerer zu erkennende Varianten. Neben „Stealerium“ selbst gebe es weitere Malware mit erheblichem Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“. Proofpoint fasst diese demnach unter dem Oberbegriff „Stealerium“ zusammen.

Abbildung: ds-Screenshot von Website „GitHub“ (03.09.2025)

„Stealerium“ als frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht

Aufleben der Angriffe: „Stealerium“ im Mai 2025 wieder verstärkt bei E-Mail-Bedrohungsdaten aufgetaucht

Nach einer Phase geringer Aktivität hätten Proofpoint-Experten „Stealerium“ im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden können. Auslöser sei eine Kampagne der Gruppe „TA2715“ gewesen – kurz darauf sei „TA2536“ gefolgt. „In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.“

• Die Angreifer hätten unterschiedlichste Themen als Köder genutzt – darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen und das Thema „Hochzeit“. Die Absender hätten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister imitiert. In den Betreffzeilen sei auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen worden.

Technisch seien komprimierte EXE-Dateien, „JavaScript“- und „VBScript“-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. „Beispiele sind eine ,TA2715‘-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine ,Xerox Scan’-Mail.“ Auch juristische Drohungen mit angeblichen Gerichtsterminen seien genutzt worden, um Opfer zum Klicken zu verleiten.

„Stealerium“ ist in „.NET“ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen

Nach der Ausführung sammele „Stealerium“ zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken – teils ergänzt durch „PowerShell“-Befehle zur Manipulation von „Windows Defender“ und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchten die „Remote Debugging“-Funktion von „Chrome“, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie „Cookies“ oder Passwörter zu stehlen.

• „,Stealerium’ ist in ,.NET’ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege – am häufigsten per SMTP, daneben über ,Discord-Webhooks’, die ,Telegram’-API, den Filehosting-Dienst ,Gofile’ und die Chat-Plattform ,Zulip’.“ Kostenlose „Cloud“-Dienste wie „Gofile“ erleichterten den unauffälligen Abfluss großer Datenmengen. „Zulip“ sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.

Die „Stealerium“-Malware sei hochgradig konfigurierbar. Die Konfiguration enthalte „C2“- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per „AES“ verschlüsselt. „Stealerium“ nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. „Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen ,GitHub’-Repositories nachzuladen.“

„Phantom Stealer“ als Variante derselben Bedrohung

„Phantom Stealer“ habe große Teile des Codes mit „Stealerium“ gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. „Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet.“ Auch „Warp Stealer“ weise deutliche Überschneidungen auf. „Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.“

• Die Aktivitäten zwischen Mai und Juli 2025 zeigten, dass „Stealerium“ und seine Varianten weiterhin aktiv in Angriffen eingesetzt würden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche „PowerShell“-Nutzung zur Manipulation von „Defender“-Einstellungen und „headless“ „Chrome“-Prozesse achten.

Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie „Discord“, „Telegram“ oder „Gofile“ zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lasse sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint, Rob Kinner & Kyle Cucci & The Proofpoint Threat Research Team, 03.09.2025
Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

datensicherheit.de, 28.07.2025
Lumma Stealer back in CyberSpace – als neue, verbesserte Version / „Lumma“ hatte lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten gegolten

datensicherheit.de, 23.06.2025
Amatera Stealer: Neue Bedrohung aus dem Netz umgeht moderne Sicherheitslösungen / Der „Amatera Stealer“, ein neuer hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, warnt Proofpoint

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 02.09.2025] „Viele Unternehmen übersehen beim Schutz ihrer IT-Ressourcen einen entscheidenden Aspekt: Sie richten ihren Fokus beinahe ausschließlich nach außen und übersehen die Bedrohung von innen“, so Matt Cooke, „Cybersecurity Strategist“ bei Proofpoint, in seiner aktuellen Stellungnahme. Dabei stellten Insider-Bedrohungen – also Risiken, die von Personen mit legitimen Zugriffsrechten ausgehen – eine der größten und kostspieligsten Herausforderungen für Unternehmen dar.

Foto: Proofpoint

Matt Cooke warnt: „Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen…  

Insider-Bedrohungen: Schadensummen bei 17,4 Millionen US-Dollar jährlich

Das Ponemon Institute berichtet in diesem Zusammenhang – auf Basis einer Befragung von Unternehmen aus Nordamerika, Europa, dem Nahen Osten, Afrika und der Asiatisch-Pazifischen Region – von durchschnittlichen Schadensummen durch Insider-Bedrohungen in Höhe von 17,4 Millionen US-Dollar pro Jahr.

• Allein Datenschutzverletzungen durch Insider kosten laut IBM weltweit im Schnitt fast fünf Millionen Dollar pro Vorfall und Unternehmen.

41 Prozent der deutschen CISOs erachteten Insider-Bedrohungen als das größte Cybersicherheitsrisiko für ihr Unternehmen im nächsten Jahr.

Privilegierte Zugriffsrechte verstärken Insider-Bedrohungen

„Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen. Sie entstehen sowohl durch absichtliches Fehlverhalten – etwa Sabotage, Datendiebstahl oder Wirtschaftsspionage – als auch durch fahrlässige Handlungen wie das versehentliche Versenden vertraulicher Informationen oder das unbeabsichtigte Herunterladen von Malware.“

• Hinzu komme die Kategorie der kompromittierten Insider: „Dabei übernehmen externe Angreifer legitime Benutzerkonten“, erläutert Cooke.

Besonders tückisch sei, dass Insider häufig über privilegierte Zugriffsrechte verfügten und sich daher unbemerkt innerhalb des Netzwerks bewegen können. Während klassische Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Programme auf externe Bedrohungen abzielten, seien sie gegen diese Art von Gefahren machtlos.

Selbst Großunternehmen mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun

Die Folgen eines erfolgreichen Insider-Angriffs könnten schwerwiegend sein: Neben unmittelbaren finanziellen Schäden drohen Reputationsverlust, Unterbrechungen des Geschäftsbetriebs und unter Umständen rechtliche Konsequenzen.

• Cooke berichtet: „Ein aktuelles Beispiel aus der Praxis ist der Fall eines ehemaligen Google-Technikers, der Tausende streng vertraulicher Dateien gestohlen hat, um seinem Arbeitgeber zu schaden.“ Dieser Google-Mitarbeiter habe heimliche Beziehungen mit chinesischen Unternehmen aufgenommen und nach dem Diebstahl CTO eines dieser Unternehmen werden wollen. „Zwar wurde er vor seiner Ausreise verhaftet, hätte mit seiner Tat aber auch nationale Sicherheitsinteressen (der USA) schaden können.“

Solch ein Vorfall unterstreiche, „dass selbst Technologie-Giganten mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun sind“.

„Insider-Threat-Programme“ wichtiger denn je

Angesichts der Komplexität und Vielschichtigkeit der Insider-Bedrohungen reiche es nicht aus, auf einzelne technische Lösungen oder punktuelle Sensibilisierungsmaßnahmen zu setzen. Vielmehr bedürfe es eines ganzheitlichen Ansatzes, „der organisatorische, technische und menschliche Faktoren gleichermaßen berücksichtigt“.

• Ein effektives „Insider-Threat“-Programm verfolge mehrere Ziele: Es solle potenzielle Bedrohungen frühzeitig erkennen, präventive Maßnahmen etablieren, im Ernstfall eine schnelle und zielgerichtete Reaktion ermöglichen und die Balance zwischen Sicherheit und Datenschutz wahren.

„Zentraler Bestandteil eines solchen Programms ist die kontinuierliche Überwachung der Nutzeraktivitäten. Moderne ,Tools‘ zur Verhaltensanalyse können beispielsweise auffällige Muster erkennen, etwa wenn ein Mitarbeiter plötzlich ungewöhnlich große Datenmengen herunterlädt oder auf Systeme zugreift, die außerhalb seines Aufgabenbereichs liegen.“

Balance zwischen Reaktion und Prävention: „Insider-Threat-Programm“ sollte auch Untersuchung und Behebung von Vorfällen umfassen

„Doch Technik allein genügt nicht!“ Ebenso wichtig sei es, eine Unternehmenskultur zu schaffen, in der Mitarbeiter für die Risiken sensibilisiert werden, um zu wissen, wie sie verdächtiges Verhalten erkennen und melden können. „Schulungen zur ,Cyberhygiene’, regelmäßige ,Awareness’-Kampagnen und klare Richtlinien zur Nutzung von IT-Ressourcen bilden hierfür die Grundlage“, betont Cooke.

• Trotz aller Prävention ließen sich Zwischenfälle aber nie vollständig ausschließen. Deshalb müsse jedes „Insider-Threat-Programm“ auch Prozesse zur Untersuchung und Behebung von Vorfällen vorsehen. „Hierzu gehört ein klar definierter ,Incident-Response-Plan’, der Verantwortlichkeiten regelt, Meldewege definiert und Maßnahmen zur Eindämmung sowie zur forensischen Analyse umfasst.“

Nur so könne im Ernstfall eine schnelle und angemessene Reaktion gewährleistet werden, um Schäden zu minimieren und aus dem Vorfall Schlüsse für die Zukunft zu ziehen.

Datenschutz und „Compliance“ als integrale Bestandteile der „Insider-Threat-Programme“

Ein weiterer wichtiger Aspekt sei der Schutz sensibler Daten durch technische Maßnahmen wie Zugriffskontrollen, Verschlüsselung und Data-Loss-Prevention-(DLP)-Lösungen. Dabei sollte der Grundsatz der minimalen Rechtevergabe gelten: „Jeder Mitarbeiter erhält nur die Zugriffsrechte, die er für seine Tätigkeit tatsächlich benötigt. Diese werden regelmäßig überprüft und bei Bedarf angepasst. Insbesondere beim Ausscheiden aus dem Unternehmen gilt es, den Datenzugriff umgehend zu unterbinden.“

• „Insider-Threat-Programme“ sähen sich nicht nur mit technischen und organisatorischen Herausforderungen konfrontiert, sondern müssten auch strenge gesetzliche Vorgaben erfüllen. Die Einhaltung von Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder weiterer lokaler Vorschriften sei zwingend erforderlich.

„Das bedeutet, dass sämtliche Maßnahmen zum Schutz vor Insider-Bedrohungen stets im Einklang mit dem Recht auf Privatsphäre stehen müssen!“ Unternehmen seien daher gefordert, transparent darzulegen, wie Daten erhoben, genutzt und gelöscht werden, welche Kontrollmechanismen existieren und wie die Rechte der Betroffenen gewahrt bleiben. „Nur wenn dieser Spagat gelingt – innerhalb der Organisation und aufseiten der Belegschaft – kann ein ,Insider-Threat-Programm’ langfristig Akzeptanz finden und erfolgreich sein.“

Der Mensch als potenzielle Insider-Bedrohung gehört in den Mittelpunkt

Letztlich stehe und falle der Erfolg eines „Insider-Threat-Programms“ mit den Menschen im Unternehmen. Eine reine Fokussierung auf technische Kontrollen greife zu kurz, „wenn nicht gleichzeitig das Bewusstsein für die Problematik geschärft wird“.

• Mitarbeiter müssten verstehen, „dass sie Teil der Sicherheitsmaßnahmen sind und durch umsichtiges Verhalten einen entscheidenden Beitrag leisten können“. Dies erfordere regelmäßige Schulungen und eine offene Kommunikationskultur, „in der Fehler gemeldet werden dürfen, ohne Angst vor Sanktionen haben zu müssen“. Gleichzeitig sollten klare Konsequenzen für vorsätzliches Fehlverhalten definiert und kommuniziert werden.

Auch die Zusammenarbeit verschiedener Abteilungen sei unerlässlich. Ein schlagkräftiges „Insider-Threat-Management-Team“ vereine Kompetenzen aus IT-Sicherheit, Personalwesen, Rechtsabteilung und Führungsebene. Nur so ließen sich technische, rechtliche und menschliche Aspekte ganzheitlich berücksichtigen und wirksame Strategien entwickeln.

Proaktives Handeln: Sicherheit als gemeinsame Aufgabe verankern

Die Zeiten, in denen Insider-Bedrohungen ein Nischenthema für IT-Security-Experten waren, sind laut Cooke passé: „Unternehmen, die den Schutz ihrer sensiblen Daten und Geschäftsgeheimnisse ernst nehmen, kommen an einem professionellen ,Insider-Threat-Programm’ nicht mehr vorbei!“

• Der Schlüssel liege in einem ausgewogenen Zusammenspiel aus technischer Überwachung, klaren Prozessen, umfassender Sensibilisierung und einer Unternehmenskultur, „die Sicherheit als gemeinsame Aufgabe erachtet“.

Cookes Fazit: „Nur wer proaktiv handelt, kann die Risiken effektiv minimieren, die wertvollsten Ressourcen seines Unternehmens schützen und sich so nachhaltig gegen die wachsenden Herausforderungen in der digitalen Welt wappnen!“

Weitere Informationen zum Thema:

proofpoint
Guide Users / Simplify behavior change with automated, risk-based learning / Transform your high-risk employees. Change risky behaviors and foster a strong security culture

proofpoint
Matt Cooke / Cybersecurity Strategist

GlobeNewswire by notified, 25.02.2025
Ponemon Cybersecurity Report: Insider Risk Management Enabling Early Breach Detection and Mitigation / Insider risk management budgets have more than doubled and are projected to grow further in 2025, as the average annual cost of insider threats reaches $17.4M USD

IBM, 2025
Data Breach / Cost of a Data Breach Report 2025

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff / Abwehr mit User and Entity Behavior Analysis auf Basis von Machine Learning

datensicherheit.de, 23.12.2016
Insider – die immer noch unterschätzte Gefahr / David Lin erläutert, warum es nicht immer gleich der externe russische Hacker sein muss

[datensicherheit.de, 13.08.2025] Nach aktuellen Erkenntnissen von Proofpoint-Cybersicherheitsexperten besteht eine Möglichkeit, die FIDO-Authentifizierung ( „Fast Identity Online“) zu umgehen. Bei FIDO handelt es sich um einen offenen Standard für sichere und benutzerfreundliche Authentifizierung im Internet. FIDO-basierte Passkeys sind laut Proofpoint grundsätzlich eine hochwirksame Methode zum Schutz vor Phishing und Konto-Übernahmen. Nun sei aber eine Methode entdeckt worden, um FIDO-basierte Authentifizierung durch einen „Downgrade“-Angriff zu umgehen.

Phishing-Angriffe mittels Standard-Phishlets scheitern an FIDO-gesicherten Konten

Die meisten Phishing-Bedrohungen, welche Standard-Phishlets verwenden, scheiterten an FIDO-gesicherten Konten. Ein sogenanntes Phishlet ist demnach eine Konfigurationsdatei, welche von Phishing-Kits verwendet wird, um die Nachahmung legitimer Websites und das Abfangen von Benutzeranmeldedaten und Sitzungstokens zu ermöglichen.

• Da die meisten Phishlets für die traditionelle Anmeldedaten-Erfassung über Verbindungen ohne FIDO-Absicherung konzipiert seien, produzierten sie Fehler, sobald sie auf die FIDO-Authentifizierung stoßen, wodurch die gesamte Angriffskette erfolglos bleibe.

Bestimmte Implementierungen der FIDO-Authentifizierung, insbesondere „Windows Hello for Business“ (WHfB), könnten nun aber anfällig für „Downgrade“-Angriffe sein. Diese Angriffe würden den Benutzer dazu zwingen, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen. Proofpoint-Experten hätten einen FIDO-„Downgrade“-Angriff am Beispiel von „Microsoft Entra ID“ durchgespeilt – diese Art des Angriffs sei allerdings nicht auf diese Implementierung beschränkt.

Benutzeragent-Spoofing: Scheinbar unbedeutende Funktionslücke könnte missbraucht werden

Nicht alle Web-Browser unterstützten die Passkey-Authentifizierungsmethode (FIDO2) mit „Microsoft Entra ID“. Beispielsweise werde FIDO bei Verwendung von „Safari“ unter „Windows“ nicht unterstützt.

• Diese scheinbar unbedeutende Funktionslücke könne nun von Angreifern missbraucht werden. Ein Cyberkrimineller könne einen „Adversary-in-the-Middle“-Angriff (AiTM) anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, „der von einer FIDO-Implementierung nicht erkannt wird“.

Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren. „Dieses Verhalten, das auf Microsoft-Plattformen zu beobachten ist, ist eine fehlende Sicherheitsmaßnahme.“

Opfer sollen gezwungen werden, ihre Authentifizierungsmethode auf eine weniger sichere herabzustufen

Proofpoint-Spezialisten hätten ein Phishlet für das „Evilginx AiTM“-Angriffsframework entwickelt, welche ein Ziel dazu zwinge, seine Authentifizierungsmassnahme auf eine weniger sichere Methode herabzustufen. Die Angriffssequenz basiere auf der Existenz einer alternativen Authentifizierungsmethode (normalerweise MFA) neben FIDO für das Konto des angegriffenen Nutzers. Dies sei bei FIDO-Implementierungen oft der Fall, weil die meisten Administratoren eine praktische Option zur Kontowiederherstellung bevorzugten.

Der Phishing-„Downgrade“-Angriff läuft laut Proofpoint wie folgt ab:

1. Erste Interaktion
   Ein Phishing-Link werde dem Ziel per E-Mail, SMS, OAuth-Zustimmungsanfrage oder einem anderen Kommunikationskanal zugesandt.
2. Authentifizierungs-„Downgrade“
   Sobald das Ziel auf den Phishing-Köder hereinfällt und auf die bösartige URL klickt, werde ihm eine Authentifizierungsfehlermeldung angezeigt, welche ihn auffordere, eine alternative Anmeldemethode auszuwählen.
3. Diebstahl von Anmeldedaten und MFA-Token
   Sobald sich das Opfer über die gefälschte Oberfläche authentifiziert, könne der Angreifer die Anmeldedaten und das Sitzungscookie abfangen und einsehen – wie bei einem Standard-„AiTM“-Phishing-Angriff.
4. Sitzungsübernahme und Kontoübernahme
   Schließlich könne der Angreifer die authentifizierte Sitzung kapern, „indem er das gestohlene Sitzungscookie in seinen eigenen Browser importiert, wodurch er Zugriff auf das Konto des Opfers erhält, ohne Anmeldedaten eingeben oder eine MFA-Authentifizierung durchführen zu müssen“.
   Der Angreifer könne dann eine Reihe von Aktionen nach der Kompromittierung ausführen, einschließlich Daten-Exfiltration und lateraler Bewegung innerhalb der betroffenen Umgebung.

Angreifer könnten FIDO-Authentifizierungs-„Downgrades“ in ihre „Kill Chains“ integrieren

Proofpoint-Experten hätten bisher noch keine Anwendung der beschriebenen Vorgehensweise durch Cyberkriminelle in der Praxis beobachten können. Indes handele es sich beim FIDO-Authentifizierungs-„Downgrade“-Angriff um eine signifikante aufkommende Bedrohung.

• Diese Art eines Angriffs könne von hochentwickelten Angreifern und APT-Angreifern (insbesondere staatlich gesponserten Akteuren) durchgeführt werden.

Weil immer mehr Organisationen „phishing-resistente“ Authentifizierungsmethoden wie FIDO einführten, könnten Angreifer sich gezwungen sehen, ihre Vorgehensweise weiterzuentwickeln, indem sie FIDO-Authentifizierungs-Downgrades in ihre „Kill Chains“ integrierten.

Weitere Informationen zum Thema:

proofpoint, Yaniv Miron, 12.08.2025
Don’t Phish-let Me Down: FIDO Authentication Downgrade / Key takeaways

datensicherheit.de, 13.02.2025
Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel / Bereitstellung von Passkeys in großen Unternehmen

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 28.07.2025] Proofpoint warnt in seiner aktuellen Stellungnahme vor Cyberkriminellen, welche mit „Remote Management Tools“ vermehrt Arbeitssuchende ins Visier nehmen. Diese „Tools können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen.

Abbildung: Proofpoint

Proofpoint warnt vor gefälschten Jobangeboten Cyberkrimineller – hier eine vorgetäuschte Einladung zur Besprechung via „zoom“

Gefälschte „zoom“-Einladungen führen zu einem „Remote Management Tool“

Proofpoint hat demnach mehrere Kampagnen identifiziert, bei denen betrügerische E-Mails mit Einladungen zu vermeintlichen Vorstellungsgesprächen versendet wurden: „Die E-Mails enthalten eine Einladung zu einem ,zoom’- oder ,Teams’-Call, um vermeintlich ein Stellenangebot zu besprechen. In Wirklichkeit führen die Links aber zu einem ,Remote Management Tool’ wie ,SimpleHelp’, ,ScreenConnect’ oder ,Atera’.“

• RMM-Software („Remote Monitoring and Management“) werde in Unternehmen legitimerweise von IT-Administratoren zur Fernverwaltung des Computer-Bestands eingesetzt. „Wenn sie missbraucht wird, hat diese Software die gleichen Fähigkeiten wie ein ,Remote Access Trojaner’ (RAT).“

In neueren Kampagnen werden laut Proofpoint kompromittierte E-Mail-Adressen genutzt, oder die Täter geben sich als Repräsentanten echter Unternehmen aus. „Die Absender haben für gewöhnlich Namen, die mit echten Personalvermittlern oder Unternehmensmitarbeitern in Verbindung gebracht werden.“ Der Inhalt solcher E-Mails beziehe sich auf Bewerbungen.

In betrügerischen E-Mails freie Stellen imitierter bzw. kompromittierter Unternehmen benannt

Security-Experten von Proofpoint konnten in den betrügerischen E-Mails „mehrere Stellen identifizieren, die von den imitierten bzw. kompromittierten Unternehmen tatsächlich ausgeschrieben wurden“.

• Proofpoint habe in mindestens einem Fall Beweise für ein gehacktes „LinkedIn“-Konto gefunden, über welches eine Stellenbeschreibung mit einer „Gmail“-Adresse veröffentlicht worden sei, „bei der eine kompromittierte Identität zum Einsatz kam“. Proofpoint habe diese E-Mail-Adresse in betrügerischen E-Mails beobachtet, „die an Personen geschickt wurden, die sich offenbar auf die Stelle beworben hatten“. Die Person, deren Identität betroffen gewesen sei, habe aber den Hacker-Angriff erkannt – „bevor Proofpoint ihn identifizieren konnte“ – und den betrügerischen Beitrag entfernt.

Cyberkriminelle könnten sich Listen potenzieller Ziele auf verschiedene Weise beschaffen: „So erstellen sie gefälschte Stellenausschreibungen, um E-Mail-Adressen zu sammeln, kompromittieren Posteingänge oder Soziale Medien von Personalverantwortlichen oder nutzen eine Liste zuvor gestohlener E-Mail-Adressen.“

Cyberkriminelle E-Mail-Kampagnen verbreiten „Tools“ für RMM oder „Remote Access Software“

Diese Aktivitäten seien Teil einer breiteren Palette von E-Mail-Kampagnen, welche „Tools“ für RMM oder „Remote Access Software“ (RAS) verbreiteten. Proofpoint habe E-Mails beobachten können, „die sich als US-Behörden, Einladungen zu Partys, Finanzinstitute und vieles mehr ausgaben“.

• RMM-/RAS-Tools seien als initiale „Payload“ sehr beliebt geworden. Anstatt RATs oder sogenannte Infostealer zu versenden, verwendeten Angreifer RMMs, da diese im legitimen Datenverkehr weniger auffielen. So könnten sie Geld oder Informationen stehlen bzw. weitere Malware installieren.

Arbeitssuchenden wird nun von Proofpoint geraten, „besonders auf die Namen und Absenderdomains der Personen zu achten, die mit ihnen in Kontakt treten, da diese Identitäten gefälscht sein könnten“. Abschließend die dringende Warnung: „Wenn Sie eine ausführbare Datei erhalten oder auf eine URL klicken sollen, die zu einer solchen führt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch!“

Weitere Informationen zum Thema:

X, proofpoint, 24.07.2025
Threat Insight: Job seekers, watch out!

proofpoint, Ole Villadsen & Selena Larson & The Proofpoint Threat Research Team, 07.03.2025
Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

datensicherheit.de, 06.08.2021
Schwachstellen in Cisco VPN-Routern: Patchen oder Remote-Management-Funktion deaktivieren / Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 23.07.2025] Ein aktueller Beitrag im „Threat Blog“ von Proofpoint beschreibt eine neue, besonders raffinierte Betrugsmasche, welche demnach derzeit für erhebliche Schäden in Unternehmen unterschiedlichster Branchen sorgt: Bei der beobachteten Angriffswelle würden Cyberkriminelle mit täuschend echten Angebotsanfragen (Request for Quote / RFQ) und dem Missbrauch von Lieferantenkrediten gezielt hochwertige Waren stehlen.

Zahlungsziel „Net 15/30/45“: Rechnungsbetrag erst nach 15, 30 bzw. 45 Tagen fällig

Die Vorgehensweise sei ebenso einfach wie perfide: „Mithilfe gestohlener bzw. öffentlich zugänglicher Unternehmensinformationen geben sich die Täter als seriöse Einkäufer aus und bitten um Angebote für spezielle Produkte.“

• Dabei setzten sie ein auf den ersten Blick harmloses Mittel ein – das Zahlungsziel „Net 15/30/45“. Dabei handele es sich um eine im Geschäftsalltag übliche Vereinbarung, bei der die bestellte Ware zunächst geliefert wird und der Rechnungsbetrag erst nach 15, 30 oder 45 Tagen fällig werde.

Genau dieses Zahlungsziel ermögliche es nun den Betrügern, die Waren zu erhalten, ohne eine Zahlung leisten zu müssen.

Betrüger tarnen sich gerne als Händler, Universitäten oder Behörden, um Waren-Auswahl und Zahlungsziel plausibel zu machen

„Was diese Angriffe so gefährlich macht, ist die hohe Professionalität, mit der die Täter agieren.“ Sie nutzten nicht nur frei verfügbare Informationen über Unternehmen, sondern gingen auch äußerst geschickt bei der Erstellung ihrer Anfragen vor.

• „Von detailreichen Produktlisten bis hin zu überzeugenden E-Mail-Signaturen und gefälschten Domains wird alles eingesetzt, um die Illusion einer legitimen Geschäftsbeziehung zu erzeugen. Besonders häufig geben sich die Betrüger als Händler, Universitäten oder Behörden aus, weil dort teure und schwer erhältliche Geräte benötigt werden.“

Die Palette der angeforderten Waren reiche von Festplatten und Netzwerkhardware bis zu medizinischen Geräten wie Defibrillatoren oder Sauerstoffgeräten – allesamt Produkte, welche sich auf dem internationalen Schwarzmarkt schnell weiterverkaufen ließen.

Cyberkriminellen greifen auf ausgeklügeltes Netzwerk zurück, um Waren möglichst spurlos verschwinden zu lassen

Doch damit nicht genug: Nach der erfolgreichen Anbahnung der Lieferung – und faktischen Bewilligung eines Kredits – griffen die Kriminellen auf ein ausgeklügeltes Netzwerk zurück, um die Ware möglichst spurlos verschwinden zu lassen.

• Dazu zählten Frachtweiterleitungsdienste, die häufig nach Westafrika lieferten, gemietete Lagerhallen in den USA sowie „Mules“, also Zwischenhändler oder ahnungslose Helfer, die unter Umständen gar nicht wüssten, „dass sie Teil eines Betrugs sind“.

Der eigentliche Schaden bleibe oft lange unbemerkt, denn erst nach Ablauf der Zahlungsfrist werde dann klar, „dass keine Zahlung eingeht und die Ware längst außer Landes ist“.

Proofpoint-Kooperation mit Versandunternehmen konnte helfen, Waren-Lieferungen noch rechtzeitig zu stoppen

Proofpoint dokumentiert solche Angriffe und bietet Hilfe bei ihrer Bekämpfung an. „Durch die enge Zusammenarbeit mit Domain-Registraren konnten bereits zahlreiche betrügerische Webseiten abgeschaltet werden.“ In den meisten Fällen hätten die Täter daraufhin den Kontakt abgebrochen, in anderen seien sie rasch mit neuen Domains wieder aufgetaucht.

• Auch die Kooperation mit Versandunternehmen habe dazu geführt, „dass mehrere betrügerische Lieferungen gestoppt werden konnten, bevor die Waren endgültig verloren waren“.

Für Unternehmen stelle diese Entwicklung eine erhebliche Herausforderung dar. Herkömmliche Schutzmechanismen reichten oft nicht aus, weil die Angriffe auf persönlicher Ebene ansetzten und sehr detailliert vorbereitet würden. Umso wichtiger sei es, Mitarbeiter für diese Gefahr zu sensibilisieren und die internen Prozesse rund um die Kreditvergabe und Kundenprüfung zu optimieren. „Ein gesundes Maß an Skepsis gegenüber ungewöhnlichen Anfragen – insbesondere, wenn diese mit Dringlichkeit und der Bitte um ein weit entferntes Zahlungsziel einhergehen – kann im Ernstfall entscheidend sein!“

Weitere Informationen zum Thema:

proofpoint, Tim Kromphardt & Hannah Rapetti, 21.07.2025
NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

datensicherheit.de, 11.07.2025
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten / Fast die Hälfte der Befragten gibt an, im letzten Jahr Opfer eines Betrugs geworden zu sein

datensicherheit.de, 14.06.2025
Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen / „Instagram“-Imitationen stellen eine zunehmende Bedrohung dar, welche die Finanzen und den guten Ruf von Unternehmen ernsthaft gefährdet

datensicherheit.de, 04.06.2025
Betrugsblindheit europäischer Unternehmen: Trotz Angriffszunahme um 59 Prozent waltet Zuversicht / 74 Prozent der Unternehmen sind zuversichtlich, sich effektiv schützen zu können – obwohl nur 45 Prozent die Auswirkungen von Identitätsbetrug messen

[datensicherheit.de, 23.06.2025] Der „Amatera Stealer“, ein neue, hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, so eine Warnung von Proofpoint: Es handelt sich demnach um eine Weiterentwicklung des bekannten „ACR Stealer“ und ist jüngst in den Fokus der Proofpoint-Forscher geraten, die nun eine ausführliche Untersuchung dazu veröffentlicht haben. Mit ausgefeilten Tarnmechanismen und einer bemerkenswerten Angriffskette markiere diese Malware einen neuen Höhepunkt in der Professionalisierung von Cybercrime-Dienstleistungen im sogenannten Malware-as-a-Service-Modell (MaaS).

Abbildung: Proofpoint

Proofpoint-Experten warnen vor „Amatera Stealer“ – dem neugestalteten „ACR Stealer“ mit verbessertem Umgehungsvermögen und mehr Raffinesse

Verbreitung von „Amatera“ vor allem über kompromittierte Webseiten

Während der ursprüngliche „ACR Stealer“ bereits als ernstzunehmende Bedrohung gegolten habe, hebe sich „Amatera“ durch zahlreiche technische Neuerungen und einen noch stärkeren Fokus auf die Umgehung moderner Sicherheitslösungen deutlich ab.

• Derzeit erfolge die Verbreitung des „Amatera Stealer“ vor allem über kompromittierte Webseiten, welche von den Angreifern mit bösartigem Code infiziert würden.

Besonders hervorzuheben sei auch der Einsatz von „Social Engineering“ in diesem Zusammenhang: „Nutzer werden beispielsweise durch täuschend echte CAPTCHA-Abfragen dazu verleitet, bestimmte Tastenkombinationen auszuführen.“ Diese Tastenkombinationen seien jedoch „PowerShell“-Befehle und starteten im Hintergrund unbemerkt die „PowerShell“-Konsole. Auf diesem Weg werde dann die eigentliche Schadsoftware nachgeladen.

„Amatera“ verzichtet auf DNS-Anfragen und tarnt seinen Datenverkehr

„Dieser mehrstufige Infektionsweg, bei dem legitime Prozesse und verschachtelte, stark verschleierte Skripte ineinandergreifen, erschwert nicht nur die Erkennung durch klassische Schutzsysteme, sondern stellt auch eine Herausforderung für die forensische Analyse durch Sicherheitsteams dar.“

• Was „Amatera“ besonders gefährlich mache, sei seine Fähigkeit, etablierte Überwachungs- und Abwehrmechanismen gezielt zu umgehen. „So nutzt die Malware zur Kommunikation mit ihren Kontrollservern keine herkömmlichen ,Windows’-Netzwerkfunktionen, sondern greift direkt auf tieferliegende Systemkomponenten zu.“

Dadurch würden viele Endpoint-Detection-Lösungen schlicht ausgehebelt. Zudem verzichte „Amatera“ auf DNS-Anfragen und tarne seinen Datenverkehr hinter IP-Adressen großer Content-Delivery-Networks wie „Cloudflare“. Dieses Vorgehen erschwere Blockierungsmaßnahmen zusätzlich und mache den Datenabfluss kaum erkennbar. „Auch die Nutzung dynamischer Systemaufrufe trägt dazu bei, dass gängige Analyse- und ,Sandboxing’-Technologien ins Leere laufen.“

„Amatera“ gelingt es, spezielle Schutzmechanismen moderner Browser zu unterlaufen

Im Zentrum der Aktivitäten stehe das Sammeln und der Diebstahl sensibler Informationen. Das Spektrum der ausgespähten Inhalte reiche dabei von Browserdaten und Zugangsdaten für „Krypto-Wallets“, Passwortmanager und Messenger-Apps bis hin zu E-Mail- und FTP-Zugangsdaten. Dabei gelinge es „Amatera“ sogar, spezielle Schutzmechanismen moderner Browser zu unterlaufen, indem gezielt sogenannter Shellcode in laufende Prozesse eingeschleust werde.

• Die Steuerung und Aktualisierung der Funktionen erfolgten flexibel über Konfigurationsdateien, welche von den Angreifern zentral bereitgestellt würden. Dadurch könne die Malware jederzeit an neue Anforderungen angepasst werden.

Die rasante Weiterentwicklung und Modularität von „Amatera Stealer“ verdeutliche einmal mehr, „wie wichtig es für Unternehmen und deren Security-Verantwortliche ist, die aktuelle Bedrohungslage im Blick zu behalten und die Sensibilisierung der eigenen Mitarbeiter für Cybersecurity-Gefahren nicht als einmalige Maßnahme, sondern als kontinuierlichen Prozess zu begreifen!“

Weitere Informationen zum Thema:

proofpoint, Jeremy Hedges & Tommy Madjar & Proofpoint Threat Research Team, 16.06.2025
Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

malpedia, 10.06.2025
Amatera

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware / Neu registrierte Domains als mögliche Quellen für neue Malware-Kampagnen

[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken für die Sicherheit, dabei haben die meisten Cyber-Angriffe vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 29.01.2025] Miro Mitrovic, „Area Vice President Sales DACH“ bei Proofpoint, hat den „Europäischen Datenschutztag“ vom 28. Januar 2025 zum Anlass genommen, nachdrücklich daran zu erinnern, dass Datenschutz und Privatsphäre ein „Fundament unserer Gesellschaft“ bilden sollten.

Foto: Proofpoint

Miro Mitrovic unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist

Menschliches Element einer der wichtigsten Faktoren für Datenverluste in Unternehmen

Mitrovic führt aus: „Auch wenn technische Innovationen die Branche verändern und neue Vorschriften ins Spiel kommen, bleibt das ,menschliche Element’ einer der wichtigsten Faktoren, der Unternehmen für Datenverluste anfällig macht!“ Der erste „Data Loss Landscape Report“ von Proofpoint zeigt demnach, dass 85 Prozent aller Unternehmen weltweit im vergangenen Jahr von Datenverlusten betroffen waren.

90 Prozent davon hätten mit negativen Folgen wie Umsatzeinbußen und Rufschädigung zu kämpfen. Bemerkenswert dabei sei, dass ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich gewesen seien. „Dies beweist, welche Auswirkungen unvorsichtige Mitarbeiter für die Cyber-Sicherheit haben können“, so Mitrovic.

Immer mehr Nutzer geben sensible Daten in KI-Anwendungen ein

Die zunehmende Bedeutung und der verstärkte Einsatz sogenannter Generativer KI (GenAI) treibe auch die Investitionen in Datenschutzmaßnahmen in die Höhe: „53 Prozent der deutschen CISOs haben 2024 ,Data Loss Prevention’, (DLP)-Technologien; implementiert, ein deutlicher Anstieg gegenüber 27 Prozent im Vorjahr.“ Dies sei besonders wichtig, da Tools wie „ChatGPT“, „Grammarly“ und „Google Gemini“ immer leistungsfähiger und nützlicher würden und immer mehr Nutzer sensible Daten in diese Anwendungen eingäben.

Mitrovic unterstreicht: „Künstliche Intelligenz, insbesondere GenAI, führt zu neuen Herausforderungen für die Datensicherheit. KI bietet ein enormes Potenzial, birgt aber auch erhebliche Risiken für Datenverluste. Wer vertrauliche Informationen oder personenbezogene Daten in diese Modelle einspeist, gibt Angreifern eine ,geladene Waffe’ in die Hand.“ Unternehmen seien darüber verständlicherweise besorgt. Der Bericht „Voice of the CISO 2024“ von Proofpoint zeige, dass 61 Prozent der deutschen CISOs GenAI als eine der größten Gefahren für ihr Unternehmen einschätzten. Dies unterstreiche die Notwendigkeit einer robusten Datenschutzstrategie.

Datenverlust wird immer von Menschen verursacht!

„Daten gehen nicht von selbst verloren, sondern Datenverlust wird immer von Menschen verursacht!“ Unvorsichtige, kompromittierte und böswillige Benutzer seien und blieben für die überwiegende Mehrheit der Datenverluste verantwortlich. Tatsächlich hätten 57 Prozent der deutschen Unternehmen in den letzten zwölf Monaten den Verlust sensibler Daten zu beklagen, wobei 77 Prozent der CISOs hierzulande der Meinung seien, dass ausscheidende Mitarbeiter für diese Vorfälle verantwortlich gewesen seien. „Aber auch riskante Handlungen wie das Weiterleiten von E-Mails, das Klicken auf Phishing-Links, das Installieren nicht autorisierter Software und das Versenden sensibler Daten per E-Mail an ein privates Konto tragen zu Datenverlusten bei.“

Mitrovic fasst zusammen: „All dies unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist!“ Dieser Ansatz müsse ein Verständnis für die Datenklassen, die Benutzerabsicht und den Bedrohungskontext kombinieren und konsistent auf alle Kommunikationskanäle angewendet werden – einschließlich E-Mail, „Cloud“, Endgeräte, Web und GenAI-Tools. „Es bedeutet auch, dass Mitarbeiter auf Fehlverhalten bei der IT-Sicherheit direkt aufmerksam gemacht werden und an personalisierten Trainings auf Grundlage des individuellen Risikoprofils teilnehmen müssen, um eine Verhaltensänderung herbeizuführen. Denn es ist von überragender Bedeutung, dass jeder die Risiken versteht und seine Rolle beim Schutz des Unternehmens ernst nimmt.“

Weitere Informationen zum Thema:

proofpoint, 19.03.2024
Proofpoint’s Inaugural Data Loss Landscape Report Reveals Careless Employees are Organizations’ Biggest Data Loss Problem / 85% of ​organizations experienced​ data loss in the past year​;​ 90% of those saw negative outcomes including revenue losses and reputational damage

proofpoint, 2024
White Paper: Voice of the CISO 2024