Cyberkriminelle tarnen Schadsoftware in Katzenfotos

Hacker nutzen verstärkt Steganografie, um Malware in harmlosen Bildern zu verstecken und Sicherheitssysteme zu umgehen.

Sicherheitsforscher schlagen Alarm: Cyberkriminelle setzen zunehmend auf eine alte, aber effektive Methode, um ihre Schadsoftware unerkannt einzuschleusen. Statt verschlüsselter Datenübertragungen verstecken Angreifer ihre schädlichen Programme in scheinbar harmlosen Dateien – etwa in Katzenfotos oder Firmen-JPEGs. Die Taktik, bekannt als Steganografie, umgeht dabei mühelos traditionelle Sicherheitslösungen, die nicht-ausführbare Dateiformate oft übersehen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Ratgeber: IT-Sicherheit proaktiv stärken

PawsRunner: Der neue Steganografie-Lader

Mitte Mai entdeckten Forscher von FortiGuard Labs eine ausgeklügelte Phishing-Kampagne mit dem Namen PawsRunner. Der neuartige Lader ist speziell darauf ausgelegt, PureLogs einzuschleusen – einen leistungsstarken .NET-basierten Infostealer, der von einem bekannten Bedrohungsakteur entwickelt wurde.

Die Infektionskette beginnt mit einer Phishing-E-Mail, die eine gefälschte Rechnung mit Dringlichkeitsvermerk enthält. Im Anhang befindet sich eine TXZ-Archivdatei. Öffnet das Opfer diese, führt eine eingebettete JavaScript-Datei aus, die codierte Befehle in Windows-Umgebungsvariablen speichert – ein Trick, um die Spuren auf der Festplatte zu minimieren.

Ein entschlüsselter .NET-Lader ruft anschließend ein PNG-Bild von einem externen Server ab. Häufig handelt es sich dabei um ein harmlos wirkendes Katzenfoto. Der PawsRunner-Lader extrahiert dann mithilfe spezifischer Steganografie-Marker die verschlüsselte Schadsoftware aus dem Bild.

PureLogs: Datenraub in großem Stil

Der finale Schädling PureLogs entfaltet sein volles Potenzial erst im Arbeitsspeicher. Die Malware ist in der Lage, Passwörter, Cookies und Sitzungstoken aus einer Vielzahl von Quellen zu stehlen:

• Über 100 Kryptowährungs-Wallet-Erweiterungen
• Gängige Webbrowser wie Chrome, Firefox und Edge
• Kommunikationsdienste wie Discord, Telegram und Signal
• Passwortmanager wie Bitwarden, LastPass und 1Password
• Entwickler- und Verwaltungstools wie FileZilla und WinSCP

Die „fileless“-Ausführung – die Malware läuft ausschließlich im RAM – hinterlässt kaum forensische Spuren auf der Festplatte und macht herkömmliche Antivirenprogramme weitgehend wirkungslos.

Operation SilentCanvas: JPEGs als Einfallstor

Eine weitere Kampagne mit dem Namen Operation SilentCanvas zeigt, wie Angreifer sogar JPEG-Dateien als Waffe einsetzen. Die Sicherheitsfirma Cyfirma enthüllte die Operation im Mai. Ziel sind Unternehmen, deren Netzwerke durch manipulierte JPEGs kompromittiert werden.

Der Angriff beginnt mit einer Datei namens „sysupdate.jpeg“, die per Phishing-E-Mail oder als angebliches Software-Update zugestellt wird. Einmal geöffnet, führt das Bild ein bösartiges PowerShell-Skript aus. Dieses installiert eine trojanisierte Version von ConnectWise ScreenConnect – einem legitimen Remote-Verwaltungstool – und verschafft den Angreifern so verdeckten Zugriff auf den Rechner.

Um unentdeckt zu bleiben, erzeugt die Malware einen falschen Windows-Dienst und manipuliert die Registrierung, um Berechtigungen zu erweitern. Die Software kann Bildschirmaufnahmen machen, Mikrofone anzapfen und die Zwischenablage überwachen – ein Werkzeug für Industriespionage.

Finanzielle Köder: Die Masche der Angreifer

Die Täter setzen gezielt auf psychologische Tricks. Laut einem Bericht von Security Boulevard aus dem Frühjahr nutzen rund 72 Prozent aller Steganografie-Kampagnen finanzielle Lockmittel. Gefälschte Rechnungen oder Zahlungserinnerungen erzeugen Druck und verleiten Mitarbeiter zum Öffnen der Anhänge.

Die Hosting-Strategie hat sich ebenfalls weiterentwickelt. Während Angreifer früher spezialisierte Bild-Hosting-Dienste wie uploaddeimagens.com.br nutzten (40 Prozent aller Kampagnen zwischen 2023 und 2024), sind sie inzwischen auf seriösere Plattformen wie Archive.org umgestiegen. Der Datenverkehr zu diesen bekannten Seiten wird von Unternehmens-Firewalls selten blockiert.

KI-gestützte Steganografie: Die nächste Stufe

Die Bedrohung wird durch den Einsatz Künstlicher Intelligenz noch komplexer. KI-gesteuerte Bots machten Ende 2024 bereits 51 Prozent des gesamten Web-Traffics aus. Angreifer nutzen KI, um ihre Einbettungsmethoden zu verfeinern. Die generierten Bilder sind mathematisch und visuell kaum von echten zu unterscheiden – eine Herausforderung für automatisierte Scanner.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen moderne psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten raten Unternehmen zu einer Zero-Trust-Architektur. Der Zugriff sollte nicht allein auf Basis von Anmeldedaten gewährt werden, sondern eine Überprüfung des Geräts, des Benutzers und der spezifischen Anfragebedingungen erfordern.

Besonders gefährdet ist der Industriesektor: Schätzungen zufolge zielen bis zu 50 Prozent aller Steganografie-Angriffe auf industrielle Unternehmen ab. Experten empfehlen den Einsatz von Content Disarm and Reconstruction (CDR) -Diensten. Diese entfernen potenziell versteckte Daten aus Dokumenten und Bildern, bevor sie den Endnutzer erreichen.

Die Integration von Steganografie in Lieferkettenangriffe und Software-Paket-Repositories wie PyPI und npm wird voraussichtlich zunehmen. Bereits jetzt verstecken Angreifer Kommando- und Kontroll-URLs in harmlosen wissenschaftlichen Aufsätzen oder Audiodateien. Für Unternehmen bleibt die Herausforderung, offene Kommunikation und Dateifreigabe zu ermöglichen, ohne die Sicherheit zu gefährden.

de | wissenschaft | 69385654 |