Cyberkriminelle tarnen Malware als harmlose PDF-Dateien

Eine neue Phishing-Kampagne nutzt virtuelle Festplatten, um Sicherheitsvorkehrungen zu umgehen und gefährliche Trojaner einzuschleusen. Für Unternehmen wird die Einhaltung von Datenschutzvorschriften wie der DSGVO zur Herausforderung.

In einer besorgniserregenden Entwicklung haben Sicherheitsforscher eine raffinierte neue Angriffsmethode aufgedeckt. Cyberkriminelle verstecken Malware in virtuellen Festplatten-Dateien (VHD), die sie als harmlose PDF-Dokumente tarnen. Diese Taktik umgeht erfolgreich traditionelle Sicherheitsbarrieren und stellt ein erhebliches Risiko für die Datensicherheit in Unternehmen dar.

Die aktuelle Kampagne mit dem Namen „DeadVax“ funktioniert über täuschend echte Phishing-E-Mails. Diese enthalten Links zu Dateien, die auf dezentralen Netzwerken wie dem InterPlanetary File System (IPFS) gehostet werden – eine Methode, die die Blockierung der Quellen erschwert.

Moderne Phishing-Angriffe tarnen Malware als harmlose PDFs – oft in VHD‑Containern, die Sicherheitschecks umgehen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier präzisen Schritten, wie Sie Mitarbeitende sensibilisieren, E‑Mail‑Gateways härten und verdächtige IPFS‑Links sofort erkennen. Inklusive Checklisten zur Erkennung von AsyncRAT‑Techniken und praxisnahen Maßnahmen für IT‑Teams. Schützen Sie Ihr Unternehmen, bevor Datenabfluss und Bußgelder drohen. Anti‑Phishing‑Paket jetzt gratis herunterladen

Das Entscheidende: Die heruntergeladene Datei sieht für den Nutzer wie ein PDF aus, ist aber in Wirklichkeit eine VHD-Datei. Ein Doppelklick bindet sie als neues Laufwerk in Windows ein. Der geniale Trick: Die enthaltenen Schadprogramme erben nicht das „Mark of the Web“. Dieses Sicherheitsmerkmal kennzeichnet normalerweise Dateien aus dem Internet als potenziell gefährlich. Für das System wirken sie nun wie vertrauenswürdige, lokale Dateien.

In der virtuellen Festplatte verbirgt sich ein Skript, das den gefährlichen AsyncRAT-Trojaner im Arbeitsspeicher installiert. Dieser ermöglicht Angreifern die vollständige Fernsteuerung des infizierten Computers. Ein Albtraum für jeden IT-Sicherheitsverantwortlichen.

Warum herkömmliche Virenscanner versagen

Die Methode ist so tückisch, weil sie einen blinden Fleck in der Verteidigung ausnutzt. Viele Antiviren-Scanner und E-Mail-Gateways durchsuchen den Inhalt von virtuellen Festplatten-Images nicht gründlich genug. Kombiniert mit der Umgehung des „Mark of the Web“ wird die Malware für Standard-Schutzprogramme quasi unsichtbar.

Die „DeadVax“-Kampagne zeigt zudem die zunehmende Professionalität der Täter. Durch die Nutzung dezentraler Hosting-Dienste wird die Rückverfolgung extrem schwierig. Ein mehrschichtiger Angriff, der von der Phishing-Mail bis zur finalen Infektion reicht.

Eine direkte Gefahr für Compliance und Datenschutz

Die Bedrohung hat handfeste Konsequenzen für Unternehmen. PDFs sind das Rückgrat der Geschäftskommunikation und genießen hohes Vertrauen. Genau dieses Vertrauen wird nun missbraucht. Für die Einhaltung der DSGVO sind robuste technische Schutzmaßnahmen vorgeschrieben. Kann Malware unbemerkt Daten abgreifen, drohen nicht nur operative Schäden, sondern auch hohe Bußgelder und Reputationsverluste.

Die Komplexität des Angriffs macht deutlich: Rein technische Abwehr reicht nicht mehr aus. Die Schulung der Mitarbeiter – die Security Awareness – gewinnt an kritischer Bedeutung. Mitarbeiter müssen lernen, bei unerwarteten Download-Links äußerste Vorsicht walten zu lassen, selbst wenn die E-Mail vermeintlich von einem bekannten Kontakt stammt.

So können sich Unternehmen schützen

Experten gehen davon aus, dass diese Angriffstechnik weiter verfeinert wird. Unternehmen sollten jetzt handeln:

• Mitarbeiter sensibilisieren: Schulen Sie Ihr Personal im Erkennen von Phishing und im skeptischen Umgang mit unerwarteten Dateianhängen – besonders bei Endungen wie .vhd, .iso oder .img.
• Technische Einstellungen anpassen: Sorgen Sie dafür, dass Dateierweiterungen im Explorer immer sichtbar sind. So fällt eine Datei namens „Rechnung.pdf.vhd““ sofort auf. Erwägen Sie, das automatische Einbinden von VHD-Dateien für Standardnutzer zu deaktivieren.
• Endpoint-Schutz modernisieren: Nutzen Sie Endpunktschutz-Lösungen, die auf dem neuesten Stand sind und verhaltensbasierte Erkennung beinhalten, um auch im Arbeitsspeicher laufende Schadsoftware zu identifizieren.

Der Wettlauf zwischen Angreifern und Verteidigern ist in eine neue Runde gegangen. Nur eine Kombination aus modernster Technologie, wachsamen Mitarbeitern und flexiblen Sicherheitsrichtlinien bietet einen wirksamen Schutz.

Übrigens: Sicherheitslücken wie die hier beschriebene haben oft eine menschliche Komponente. Unser Anti‑Phishing‑Paket liefert neben technischen Checks auch fertige Schulungsunterlagen und CEO‑Fraud‑Szenarien, mit denen Sie Ihre Awareness‑Trainings sofort verbessern. Mit einfachen Vorlagen für interne Richtlinien und einer 4‑Punkte‑Präventionstaktik reduzieren Sie das Risiko von Fernsteuerungs‑Trojanern deutlich. Jetzt Anti‑Phishing‑Checkliste anfordern