LGR CMS

Tag: Trojaner

  • BlueVoyant SOC: Die Evolution komplexer Angriffs-Kampagnen schreitet immer schneller voran

    BlueVoyant SOC: Die Evolution komplexer Angriffs-Kampagnen schreitet immer schneller voran

    LGR Reutlingen – 28 Mai 2026 | Im Zuge der stetig wachsenden Bedrohung durch Cyberangriffe haben die Sicherheitsanalysten des BlueVoyant Security Operations Centers (SOC) eine neuartige, global agierende Bedrohungsgruppe entdeckt. Diese Gruppe, die seit Februar 2026 aktiv ist, nutzt eine ausgeklügelte SEO Poisoning-Kampagne, um über gefälschte Microsoft Teams-Installer Trojaner zu verbreiten. Ziel ihrer Angriffe sind insbesondere Nutzer, die über Suchmaschinen nach einer Möglichkeit suchen, die beliebte Kommunikationssoftware Teams zu installieren. Durch gezielte Manipulation der Suchergebnisse gelingt es den Angreifern, ihre kompromittierten Installations-Webseiten an die Spitze der Suchergebnisse zu setzen.

    Ein auf diesen Webseiten platziertes PHP-Skript sammelt die IP-Adressen der Opfer und liefert ihnen die schädlichen Installer aus. Am Ende der Attacke steht die Installation einer mehrstufigen Shellcode-Loader- und Backdoor-Kombination, die von den Sicherheitsanalysten den Namen ‘Lorem Ipsum’ erhalten hat.

    Die technische Brisanz dieser Kampagne ergibt sich vor allem aus der systematischen und ressourcenintensiven Umgehung etablierter Sicherheitsmechanismen. Die trojanisierten MSI-Installer sind mit gültigen, über Microsoft-ID verifizierten Code-Signing-Zertifikaten ausgestattet, die jedoch nur eine maximale Gültigkeit von drei Tagen haben – ein gezielter „Burn Cycle“, um EDR-Lösungen zu täuschen. Die Ausführung der Schadsoftware beginnt im Verborgenen: Eine MSI-Aktion wird unsichtbar im Hintergrund über einen PowerShell-Loader gestartet, während der legitime Teams-Installer im Vordergrund läuft.

    In einer rasanten architektonischen Reifung hat die Bedrohungsgruppe die Verschleierung ihrer Payload-Bereitstellung innerhalb weniger Wochen erheblich optimiert. Während sie anfangs auf einfache, via gzip komprimierte Payloads setzte, nutzt sie mittlerweile externe AES-Schlüssel, die über die MSI-Perimeter übergeben werden.

    Eine der innovativsten Taktiken des „Lorem Ipsum“-Loaders ist der Missbrauch legitimer Webdienste als „Dead-Drop-Resolver“ für die Command-and-Control (C2)-Infrastruktur. Anstatt C2-Domänen fest im Code zu integrieren, nutzen die Angreifer die Plattform letsdiskuss.com. Dort erstellen sie Profile und verstecken in den Profilbeschreibungen kodierte C2-Informationen. Der bekannte „Lorem Ipsum“-Blindtext dient dabei als Tarnung, wobei die eigentlichen Daten zwischen spezifischen Begrenzungszeichen eingebettet sind. Der Loader ruft diese Seiten über reguläre HTTP-Anfragen auf, extrahiert die Zeichenketten und berechnet die finalen C2-Domänen.

    Ein weiteres bemerkenswertes Merkmal ist die Verschleierungstechnik, bei der die gesamte C2-Kommunikation in JFIF-Bilddateien (JPEG) verpackt wird. Der Loader sendet seine Anfragen mit einem „image/jpeg“-Header. Verschlüsselte Payloads oder Systeminformationen werden über die regulären Bildgrenzen hinaus angehängt und mittels einer maßgeschneiderten XOR-Routine verschlüsselt übertragen.

    Die umfassende Analyse des BlueVoyant SOC deutet auf eine finanziell gut ausgestattete Gruppe Cyberkrimineller hin, die möglicherweise als Initial Access Broker (IAB) fungiert. Die operative Geschwindigkeit der Gruppe ist beispiellos: Innerhalb von nur knapp zehn Wochen entwickelte sie die Schadsoftware von einem simplen Test-Build zu einer hochgradig ausgereiften Loader-Kette mit DLL-Sideloading, dynamischer API-Auflösung und steganografischer C2-Kommunikation über UUID-getrackte Pfade weiter.

    Diese enorme Entwicklungsgeschwindigkeit lässt vermuten, dass die Angreifer bei der Code-Erstellung auf Large Language Models (LLMs) zurückgreifen. KI-gestützte Workflows ermöglichen es modernen Bedrohungsakteuren, ihre Toolsets in einem Bruchteil der bisher üblichen Zeit zu optimieren.

    Für IT-Sicherheitsverantwortliche ergeben sich aus diesen Erkenntnissen klare Handlungsempfehlungen. Da die Angreifer ihre Infrastruktur in immer rasanterem Tempo weiterentwickeln, werden statische Indicators of Compromise (IOCs) zunehmend irrelevant. Die Verteidigung muss daher zwingend auf verhaltensbasierte Anomalie-Erkennung umgestellt werden. Kritische Warnsignale, auf die geachtet werden sollte, sind beispielsweise der Netzwerkverkehr von Nicht-Browser-Prozessen zu letsdiskuss.com, JFIF-formatierte POST-Anfragen an ungewöhnliche Endpunkte sowie das Starten versteckter PowerShell-Instanzen durch msiexec mit Schreibzugriffen im Dateisystem.

    Zusammenfassend lässt sich sagen, dass die vom BlueVoyant SOC dokumentierten Verhaltensmuster ein solides Fundament bilden, um diese und ähnliche fortschrittlich operierende Cyberkampagnen proaktiv zu erkennen und erfolgreich abwehren zu können.

    Eric Litowsky, Sales Director bei BlueVoyant

  • Mobile Banking-Trojaner: Angriffe springen um 196 Prozent

    Mobile Banking-Trojaner: Angriffe springen um 196 Prozent

    LGR Reutlingen – 27 Mai 2026 | Sicherheitsexperten berichten von einem alarmierenden Anstieg der Angriffe durch Mobile Banking-Trojaner, der im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Vorfälle gestiegen ist. Dies zeigt, wie gravierend die Bedrohung durch mobile Cyberkriminalität geworden ist. Die geschätzten weltweiten wirtschaftlichen Schäden könnten bis Ende 2026 auf rund 442 Milliarden Euro ansteigen.

    Mit Millionen von Deutschen, die täglich Online-Banking über ihre Smartphones nutzen, sind die Risiken enorm. Experten warnen eindringlich davor, dass diejenigen, die sich nicht mit den nötigen Schutzmaßnahmen auskennen, ernsthafte Datenverluste und finanzielle Schäden riskieren. Zu den empfohlenen Schutzmaßnahmen zählen unter anderem die Verwendung von starken Passwörtern und die Aktivierung der Zwei-Faktor-Authentifizierung.

    Ein Haupttreiber dieses Anstiegs ist die zunehmende Nutzung von Künstlicher Intelligenz (KI) durch Cyberkriminelle. Schätzungen zufolge basieren mittlerweile 86 Prozent aller Phishing-Kampagnen auf KI-Technologien. Täglich werden etwa 3,4 Milliarden schädliche Nachrichten weltweit versendet. Besonders besorgniserregend ist der kürzlich entdeckte erste von einer KI entwickelte Zero-Day-Exploit, der auf einen semantischen Logikfehler in einem weit verbreiteten Server-Management-Tool abzielt und die Zwei-Faktor-Authentifizierung für Cloud-Dienste umgeht.

    Die Täter haben ihre Infrastruktur professionalisiert. Eine Plattform namens Kali365 bietet seit Frühjahr 2026 ihre Dienste als „Phishing-as-a-Service“ an. Für 250 Euro im Monat oder 2.000 Euro jährlich können Angreifer komplexe Attacken durchführen, unter anderem den Missbrauch des OAuth Device Code Flow, um die Multi-Faktor-Authentifizierung zu umgehen. Die Gruppe Storm-2949 hat diese Methode bereits für massive Angriffe in Nordamerika und Europa genutzt, wobei sensible Daten aus Cloud-Speichern oft innerhalb weniger Minuten gestohlen wurden.

    Darüber hinaus haben altbekannte Methoden ein KI-Update erfahren. Das sogenannte Quishing, bei dem QR-Codes für Phishing verwendet werden, ist um 150 Prozent auf 18 Millionen Fälle gestiegen. Experten von Kaspersky haben eine neue Taktik beobachtet, bei der Angreifer QR-Codes aus ASCII- oder Unicode-Zeichen generieren, die für automatisierte E-Mail-Scanner unsichtbar sind, jedoch auf mobilen Geräten wie normale QR-Codes funktionieren.

    Im Android-Ökosystem ist der Mamont-Trojaner besonders verbreitet und verantwortlich für etwa 70 Prozent der Angriffe. Eine perfide Kampagne namens Trapdoor hat über 450 manipulierte Apps in den offiziellen Google Play Store geschleust, die zusammen über 24 Millionen Downloads verzeichneten. Diese Apps führten im Hintergrund bis zu 480 Millionen betrügerische Werbeauktionen pro Tag durch.

    Zusätzlich gibt es nicht patchbare Hardware-Schwachstellen. Die Sicherheitslücke CVE-2026-25262 im BootROM bestimmter Qualcomm-Chipsätze ermöglicht tiefgreifende Systemeingriffe, die durch Software-Updates kaum behoben werden können. Auch im Linux-Kernel wurde mit CVE-2026-31635 eine kritische Lücke entdeckt, die ein weiteres Risiko darstellt.

    Plattformbetreiber reagieren auf diese wachsenden Bedrohungen: Apple hat Post-Quanten-Kryptografie (PQ3) sowie einen erweiterten Schutz für gestohlene Geräte eingeführt. Android 17, auch bekannt als Cinnamon Bun, wird mit einem neuen „Theft Detection Lock“ ausgestattet, der verdächtige Bewegungen erkennt und das Gerät sofort sperrt. Darüber hinaus sollen Anrufe von bekannten Betrugsnummern künftig automatisch blockiert werden. Dennoch nutzen nur etwa 18 Prozent der Nutzer kostenpflichtige Premium-Sicherheitslösungen.

    Die Explosion der Betrugsfälle bleibt nicht ohne rechtliche Konsequenzen. Das Oberlandesgericht Frankfurt am Main hat ein wegweisendes Urteil gefällt, wonach Banken für unbefugte Geldabhebungen haften, wenn dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann. Ein konkreter Fall betraf einen Kunden, der während eines Auslandsaufenthalts 220.000 Euro verlor, ohne jemals physischen Zugriff auf seine Karte oder PIN zu haben.

    Das Landgericht Itzehoe sieht sich ebenfalls mit einer hohen Anzahl von Klagen konfrontiert, darunter rund 90 gegen eine große Direktbank. Oft sind Social-Engineering-Techniken im Spiel, bei denen Täter sich am Telefon als Bankmitarbeiter ausgeben. Lokale Polizeibehörden im Rhein-Kreis Neuss und in Hamm berichten von Fällen, in denen Betrüger mit gefälschten SMS und persönlichen Anrufen hohe Summen erbeutet haben, teilweise indem sie EC-Karten direkt an der Haustür der Opfer abholten.

    Die Behörden haben jedoch auch Erfolge zu verzeichnen. Im Rahmen der internationalen Operation FRONTIER+ III, die von Interpol geleitet wird, gab es weltweit 3.000 Festnahmen, und es wurden Gelder in Höhe von 752 Millionen US-Dollar eingefroren.

    In Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, was den Schutz vor Datenklau dringlicher denn je macht. Die Aktivierungslücke zwischen Kartenzustellung und erster Nutzung stellt ein kritisches Sicherheitsrisiko dar. Giesecke+Devrient (G+D) hat neue Lösungen in seiner Convego-Produktlinie entwickelt, um diesem Risiko zu begegnen. Marktdaten zeigen, dass 10 bis 20 Prozent der Kartenzustellungen aufgrund fehlerhafter Adressen scheitern oder zurückgesendet werden, was ein Einfallstor für Postweg-Diebstähle darstellt.

    Um die Sicherheit zu erhöhen, werden KI-gestützte Adressvalidierungen und NFC-fähige Versandverpackungen eingesetzt. Kiosk-basierte Sofortabholungen gewinnen an Bedeutung, insbesondere im US-Markt mit über 648 Millionen Kreditkartenkonten, aber auch zunehmend in Europa.

    Der regulatorische Rahmen wird strenger. Mit dem Inkrafttreten des neuen Digital-Identitäts-Gesetzes in Deutschland im Mai 2026 wird die EUDI-Wallet (European Digital Identity Wallet) ab dem 2. Januar 2027 für alle Bürger verpflichtend bereitgestellt. Diese soll unsichere Methoden wie die SMS-Verifizierung langfristig ersetzen.

    Großereignisse wie die Fußball-Weltmeisterschaft im Sommer 2026 wirken sich ebenfalls auf das Betrugsaufkommen aus. Analysten haben bereits über 200 betrügerische Domains und IP-Adressen identifiziert, die den offiziellen Ticketverkauf imitieren. Technologisch zeichnet sich ein Übergang zu passwortlosen Verfahren ab, mit bereits rund 5 Milliarden weltweit eingesetzten Passkeys. Microsoft hat begonnen, die SMS-Verifikation für persönliche Konten abzuschaffen, um Smishing und SIM-Swapping zu erschweren.

    Die größte Schwachstelle bleibt der Faktor Mensch. Während die NIS2-Richtlinie umgesetzt wird – in Deutschland haben bisher nur rund 11.000 von knapp 30.000 erwarteten Unternehmen die Registrierung abgeschlossen – zeigen die steigenden Fälle von Social Engineering, dass technische Barrieren allein nicht ausreichen. Die Kombination aus Regulierung, verbesserter Hardware-Sicherheit und sensibilisierten Nutzern wird entscheidend sein, um den Trend der explodierenden Schadenssummen in der zweiten Jahreshälfte 2026 zu brechen.