Cyberangriffe nutzen jetzt Windows-Werkzeuge gegen sich selbst

Hacker und staatliche Akteure setzen zunehmend auf eingebaute Microsoft-Tools statt eigener Schadsoftware – und umgehen so traditionelle Sicherheitssysteme. Diese als „Living off the Land“ bekannte Methode verschmilzt Angriffsaktivitäten mit normalen Administrationsprozessen. Aktuelle Berichte vom März 2026 zeigen einen dramatischen Anstieg dieser Taktiken, von Ransomware bis zu staatlich geförderten Zerstörungsangriffen.

Während herkömmliche Schutzprogramme bei modernen „Living off the Land“-Angriffen oft versagen, stärken gezielte Präventionsstrategien die Widerstandsfähigkeit Ihres Unternehmens. Dieser Experten-Report enthüllt effektive Strategien gegen Cyberkriminelle, ohne dass dafür eine Budget-Explosion nötig ist. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

XWorm-Trojaner tarnt sich als Microsoft-Compiler

Sicherheitsforscher von Trellix meldeten am 16. März 2026 neue Kampagnen mit den Schadprogrammen XWorm 7.1 und Remcos. Die Angreifer verteilen schädliche Archive über Plattformen wie Discord, oft getarnt als harmlose Spiel-Mods. Sie nutzen eine kritische Schwachstelle in WinRAR (CVE-2025-8088) für die erste Ausführung.

Der Clou: Der Schadcode wird nicht als eigene Datei abgelegt. Stattdessen kapert er über eine „Process Hollowing“-Technik den legitimen Microsoft-Prozess aspnet_compiler.exe. Der XWorm-Trojaner operiert damit vollständig im Arbeitsspeicher. Endpoint-Security-Lösungen erkennen den Compiler als vertrauenswürdige, digital signierte Microsoft-Anwendung – und greifen nicht ein. Die zunehmende Verfügbarkeit von XWorm als „Malware-as-a-Service“ macht diese raffinierte Tarnung auch für weniger versierte Cyberkriminelle zugänglich.

Verwaltungsplattform Intune wird zur Datenvernichtungswaffe

Die zerstörerische Kraft dieser Taktiken zeigte ein Angriff auf einen milliardenschweren Medizintechnik-Hersteller aus Michigan ab dem 11. März. Der iranisch verbundene Hackerkollektiv Handala kompromittierte die firmeneigene Microsoft Intune-Umgebung, eine weltweit genutzte Verwaltungsplattform für mobile Geräte.

Mit gestohlenen Zugangsdaten und legitimen API-Aufrufen löschten die Angreifer etwa 200.000 Geräte in 79 Ländern – Server, Laptops und Handys. Da die Befehle aus der vertrauten Management-Plattform kamen, schlugen die internen Sicherheitssysteme erst Alarm, als die Geräte bereits gesperrt waren. Experten sehen darin einen Wendepunkt: Katastrophaler operativer Schaden ist nun ohne ein einziges Stück erkennbarer Malware möglich.

Ransomware nutzt PsExec und PowerShell für Datendiebstahl

Auch finanziell motivierte Cyberkriminelle setzen auf diese Werkzeuge. Forscher von Huntress dokumentierten am 13. März einen Angriff mit der INC-Ransomware. Nach dem Eindringen ins Netzwerk Ende Februar demontierten die Täter die Verteidigung mit Bordmitteln.

Sie nutzten PsExec, ein legitimes Microsoft-Admin-Tool, für höhere Systemrechte. Über geplante Tasks führten sie base64-codierte PowerShell-Befehle aus, um Cloud-Speicherzugriff zu konfigurieren. Eine Open-Source-Backup-Software tarnten sie als Windows-Update. Vor dem finalen Ransomware-Angriff deinstallierten sie mit Systemrechten den Antiviren-Agenten und schalteten Windows Defender live aus. Ohne ein umfassendes SIEM-System (Security Information and Event Management) blieben diese Admin-Befehle unentdeckt – sie sahen aus wie routinemäßige Wartung.

Besonders perfide Hacker-Methoden wie CEO-Fraud und manipulierte Admin-Befehle führen aktuell zu Rekordschäden in deutschen Unternehmen. Ein kostenloser Guide zeigt Ihnen in 4 Schritten, wie Sie eine erfolgreiche Abwehr aufbauen und Ihre Organisation vor Phishing-Attacken schützen. Experten-Guide zur erfolgreichen Hacker-Abwehr sichern

Warum herkömmliche Virenscanner hier versagen

Diese Angriffswelle offenbart eine grundlegende Schwäche traditioneller Cybersicherheit. Die Abwehr stützte sich lange auf signaturbasierte Erkennung, die Dateien auf bekannten bösartigen Code scannt. „Living off the Land“ unterläuft dieses Modell, indem es Werkzeuge nutzt, die standardmäßig auf der Whitelist stehen.

PowerShell, WMI oder geplante Tasks sind für Netzwerkadministratoren essenziell – ein komplettes Blockieren ist unpraktikabel. Das Verhalten der Angreifer ist von legitimer Admin-Aktivität kaum zu unterscheiden. Ein codierter PowerShell-Befehl eines Hackers erzeugt die gleiche Systemtelemetrie wie ein Script des IT-Teams. Da diese Angriffe oft nur im Speicher operieren und keine neuen Dateien auf der Festplatte erzeugen, sind klassische Virenscanner wirkungslos.

Die Zukunft der Abwehr liegt im Verhaltens-Monitoring

Um sich zu schützen, müssen Unternehmen auf verhaltensbasierte Erkennungsmodelle umstellen. Entscheidend ist eine lückenlose Transparenz darüber, wie Systemwerkzeuge im Netzwerk genutzt werden. Dazu gehört die Überwachung auf anormale Zugriffsmuster – etwa Admin-Tools, die zu unüblichen Zeiten oder von unerwarteten Accounts gestartet werden.

Zentrale Maßnahmen sind:
* Strikte Rechtebeschränkung (Prinzip der geringsten Privilegien)
* Zweifaktor-Authentifizierung für alle Admin-Portale
* Aktivierung erweiterter Logging-Funktionen wie PowerShell ScriptBlock-Logging

Die Fähigkeit, zwischen legitimer Systemadministration und bösartiger Ausnutzung zu unterscheiden, wird 2026 zum entscheidenden Faktor für den Unternehmensschutz.

boerse | 68696771 |