HP Threat Insights Report Living off the Land und Phishing entwickeln sich weiter

Anbieter zum Thema

HP Inc.

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Der HP Threat Insights Report zeigt, dass Phishing- und Living-off-the-Land-Techniken raffinierter werden und klassische Erkennung umgehen – mit in Bildern versteckter Malware, SVG-Reverse-Shells und gezielten Kampagnen.

Phishing und Living-off-the-Land-Techniken (LOTL) sind seit Langem fester Bestandteil der Toolkits von Cyberkriminellen. Wie HP Wolf Security jedoch in seinem „Threat Insights Re­port“ festgestellt hat, entwickeln sich die Methoden weiter und sind mittlerweile in der Lage, herkömmliche, auf Erkennung basierende Sicherheitstools zu umgehen.

LotL-Angriffe erkennen und abwehren

So funktionieren Living-off-the-Land-Attacken

Trickreiches Social Engineering

Der Threat Insights Report enthält eine Analyse realer Cyberangriffe und will Unternehmen helfen, mit den neuesten Techniken Schritt zu halten, die Cyberkriminelle einsetzen, um der Erkennung zu entgehen und PCs zu kompromittieren. Basierend auf Millionen von Endgeräten, auf denen HP Wolf Security ausgeführt wird, haben die Threat Researcher unter anderem folgende Kampagnen identifiziert:

• Gefälschte Adobe-Reader-Rechnungen als Social-Engineering-Köder: Die Forscher beo­bachteten, wie Angreifer eine Reverse Shell einbetteten, ein Skript, das ihnen die Kontrolle über das Gerät des Opfers ermöglicht. Dieses Skript wurde in ein kleines SVG-Bild ein­gebettet, getarnt als sehr realistische Adobe-Acrobat-Reader-Datei mit gefälschter Ladeleiste. Dadurch entstand der Eindruck eines laufenden Uploads. Dies erhöhte die Wahrscheinlichkeit, dass die Opfer die Datei öffnen und eine Infektionskette auslösen würden. Die Angreifer beschränkten den Download außerdem auf deutschsprachige Regionen, um automatisierte Analysesysteme zu behindern und die Erkennung ihrer Aktivitäten zu verzögern.

• Angreifer verstecken Malware in Pixel-Bilddateien: Die Angreifer verwendeten Microsoft Compiled-HTML-Help-Dateien, um bösartigen Code in Bildpixeln zu verstecken. Die Dateien waren als Projektdokumente getarnt und verbargen eine XWorm-Nutzlast in den Pixeldaten. Sie wurden anschließend extrahiert und zur Ausführung einer mehrstufigen Infektionskette mit mehreren LOTL-Techniken verwendet. Außerdem verwendeten die Akteure PowerShell, um eine CMD-Datei auszuführen, die die Spuren der Dateien löschte, sobald diese heruntergeladen und ausgeführt waren.

• Lumma Stealer lebt wieder auf und verbreitet sich über IMG-Archive: Lumma Stealer war in den vergangenen Monaten eine der aktivsten Malware-Familien. Angreifer verbreiteten sie laut HP über mehrere Kanäle, darunter IMG-Archiv-Anhänge, die LOTL-Techniken nutzen, um Sicherheitsfilter zu umgehen und vertrauenswürdige Systeme auszunutzen. Trotz einer koordinierten Aktion der Strafverfolgungsbehörden im Mai 2025 wurden die Kampagnen mit Lumma Stealer im Juni fortgesetzt. Die Gruppe registriert den Forschenden zufolge bereits weitere Domains und baut Infrastruktur auf.

Alex Holland, Principal Threat Researcher des HP Security Labs, kommentiert: „Angreifer erfinden das Rad nicht neu, sondern verfeinern ihre Techniken. Living off the Land, Reverse Shells und Phishing gibt es schon seit Jahrzehnten, aber die heutigen Bedrohungsakteure schärfen diese Methoden. Wir beobachten eine zunehmende Verkettung von Living-off-the-Land-Tools und die Verwendung weniger offensichtlicher Dateitypen, wie Bilder, um der Er­kennung zu entgehen. Nehmen wir Reverse Shells als Beispiel – man muss kein vollwertiges RAT [Anm. d. Red. Remote Access Trojan] einsetzen, wenn ein simples Skript den gleichen Effekt erzielt. Es bleibt unbemerkt, gerade weil es so einfach und schnell ist.“

2.300 Domains beschlagnahmt

Microsoft zerschlägt Lumma Stealer

(ID:50569813)