OnionDrop, Malware

OnionDrop: Malware nutzt Adobe-Signatur gegen 645 DLL-Varianten

17.06.2026 - 14:25:37 | boerse-global.de

Die OnionDrop-Kampagne nutzt Adobe-Signaturen und vierstufige Tarnung, um Daten von deutschen Unternehmen zu stehlen.

OnionDrop Malware: Deutsche Firmen im Visier raffinierter Hacker
OnionDrop - A shadowy figure in a hoodie types on a laptop, with lines of code and digital lock icons overlaid, symbolizing a cyberattack. 17.06.2026 - Bild: über boerse-global.de

Seit Februar 2025 sind deutsche Unternehmen und Privatanwender ins Visier einer hochentwickelten Malware-Operation geraten. Die als OnionDrop bekannte Kampagne nutzt raffinierte Tarnmethoden, um Sicherheitssoftware zu umgehen.

Adobe-Signatur als Einfallstor

Die Angreifer setzen auf eine besonders perfide Methode: Sie kapern eine legitime, digital signierte Datei von Adobe. Genauer gesagt missbrauchen sie AcroBroker.exe für eine Technik namens DLL-Sideloading. Da das Betriebssystem der signierten Adobe-Datei vertraut, laden sich die schädlichen DLLs unbemerkt in den Speicher.

Anzeige

Da Angriffe auf Windows-Systeme immer komplexer werden und legitime Dateien für ihre Tarnung missbrauchen, ist ein spezialisierter Schutz unerlässlich. Dieser kostenlose Ratgeber macht Ihren Rechner zur Festung gegen Viren und Hacker. Kostenloses Anti-Virus-Paket jetzt sichern

Die Sicherheitsforscher des Cyderes Howler Cell Threat Research Teams entdeckten zwischen Ende Februar und Ende Mai über 645 verschiedene DLL-Varianten. Die Kommandozentrale der Hacker befindet sich auf dem Server gainmsg[.]com/nfront[.]php – von dort aus steuern sie die Verteilung der Schadsoftware.

Vierstufige Tarnung gegen Sicherheitssoftware

Was OnionDrop besonders gefährlich macht, ist die mehrschichtige Verschleierung. Der Schadcode durchläuft vier Entpackungsstufen, bevor er aktiv wird:

  • Byte-Pair-Encoding (BPE) zur Komprimierung
  • Xpress Huffman-Kompression
  • AES-256-CBC-Verschlüsselung
  • Donut-Shellcode mit Thread-Pool-Callbacks

Diese Kombination erschwert Analysen durch Sicherheitssoftware enorm. Zusätzlich prüft die Malware, ob sie in einer virtuellen Umgebung läuft – etwa in den Sandboxen von Virenscannern. Erkennt sie eine solche Analyseumgebung, stellt sie ihre Aktivität sofort ein.

Die Sicherheitsexperten vergleichen die Komplexität der Tarnmethoden mit denen staatlicher Hacker-Gruppen.

Anzeige

Da Malware-Kampagnen wie OnionDrop gezielt deutsche Firmen ins Visier nehmen, ist eine fundierte Sicherheitsstrategie für Unternehmer unverzichtbar. Erfahren Sie im gratis E-Book, wie Sie aktuelle Bedrohungen abwenden und gesetzliche Anforderungen erfüllen. Gratis E-Book zur IT-Sicherheit herunterladen

Gestohlene Zugangsdaten als Ziel

Die Angreifer haben es vor allem auf Informationsdiebstahl abgesehen. Die Kampagne verteilt Schädlinge wie Vidar, LegionLoader und CGrabber – spezialisiert auf das Ausspähen von Browser-Zugangsdaten, Finanzinformationen und Systemdaten.

Der OnionDrop-Fund reiht sich in eine besorgniserregende Entwicklung ein. Auch andere aktuelle Kampagnen wie ClickFix nutzen gefälschte CAPTCHA-Abfragen und kompromittierte WordPress-Seiten, um ähnliche Schadsoftware zu verbreiten. Die erste Jahreshälfte 2025 zeigt einen deutlichen Trend zu immer ausgefeilteren Lader-Malware-Operationen.

de | wissenschaft | 69562515 |