PawsRunner-Loader: Neue Phishing-Welle tarnt Malware in Bildern

Sicherheitsforscher haben eine hochentwickelte Phishing-Kampagne entdeckt, die Schadcode in harmlosen Bilddateien versteckt.

Die Angriffswelle, die Mitte Mai 2026 erstmals registriert wurde, nutzt einen neuartigen Loader namens PawsRunner, um den Infostealer PureLogs auf Unternehmenssysteme zu schleusen. Besonders tückisch: Die Malware verwendet Steganographie, um ihre Schadsoftware in PNG-Bildern zu verbergen – eine Methode, die bislang vor allem staatlichen Hackergruppen vorbehalten war.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken und Hacker-Angriffe schützen kann. Anti-Phishing-Paket jetzt kostenlos herunterladen

Die Infektionskette: Vom Phishing zur versteckten Bedrohung

Die Attacke beginnt mit einer täuschend echten Rechnungs-E-Mail. Statt der üblichen ZIP- oder RAR-Anhänge enthalten die Mails jedoch ein TXZ-Archiv – ein mit XZ komprimiertes TAR-Format, das viele Sicherheitsscanner nur unzureichend prüfen. Der Druck ist bewusst hoch: Die Nachrichten tarnen sich als dringende Zahlungsaufforderungen.

Entpackt das Opfer das Archiv, findet es eine stark verschlüsselte JavaScript-Datei. Die Entwickler haben den Code mit irreführenden Kommentaren in mehreren Sprachen überfrachtet – ein Trick, der automatische Analysen in die Irre führen soll.

Der Clou: Das Skript enthält den Schadcode nicht direkt. Stattdessen definiert es Umgebungsvariablen mit verschlüsselten Befehlen. Ein versteckter PowerShell-Prozess entschlüsselt die erste Stufe per AES, entpackt sie mit Gzip und führt den Code direkt im Arbeitsspeicher aus – ohne jemals die Festplatte zu berühren.

PawsRunner: Der Loader mit Katzen-Look

Der daraus resultierende PawsRunner-Loader ist eine .NET-Anwendung mit einer ungewöhnlichen Eigenart: Die Entwickler versehen ihre Samples mit Katzen-Icons. Seine Hauptaufgabe ist das Laden von Konfigurationsdaten, darunter eine rotierende Liste verschlüsselter Kommando- und Kontrollserver (C2).

Was PawsRunner von anderen Loadern unterscheidet, ist seine Kommunikationsmethode. Statt direkt ausführbare Dateien herunterzuladen, fordert der Loader PNG-Bilddateien vom C2-Server an. Für Netzwerküberwachungssysteme sieht das aus wie der völlig normale Abruf eines Bildes von einer Webseite.

Versteckt im Pixel-Meer

Die wahre Gefahr liegt in den Bildern selbst. PawsRunner durchsucht die PNG-Dateien nach bestimmten Markierungen in den Metadaten-Blöcken „iTXt" und „IEND". Dort finden sich die verschlüsselten Payloads, die mit RC4 entschlüsselt werden. Ein harmloses Katzenfoto kann so den Code für die nächste Angriffsstufe verbergen.

Der Loader zeigt sich flexibel bei der Netzwerkkommunikation: Er probiert verschiedene APIs wie HttpClient und WebRequest durch, um auch dann noch eine Verbindung aufzubauen, wenn einzelne Methoden blockiert sind.

PureLogs: Der Datensammler

Die letzte Stufe der Angriffskette ist PureLogs, ein 64-Bit-Infostealer in C#. Die Malware gehört zur „Pure"-Familie, die seit 2022 auf Untergrund-Foren aktiv ist. Die aktuelle Version zeigt deutlich verbesserte Tarn- und Sammelfähigkeiten.

PureLogs durchsucht die befallenen Systeme nach:
- Browser-Daten: Cookies, AutoFill-Informationen und gespeicherte Zugangsdaten aus Chrome, Chromium und Gecko-basierten Browsern
- Krypto-Wallets: Gezielte Suche nach Browser-Erweiterungen und Desktop-Apps wie MetaMask, Exodus und Electrum
- Anwendungsdaten: Nachrichten von Telegram, FTP-Zugänge von FileZilla
- Systeminformationen: Hardware-Details, installierte Software und Benutzerberechtigungen
- Überwachungsfunktionen: Screenshots und Keylogging

Die gestohlenen Daten werden per 3DES-Verschlüsselung an den C2-Server gesendet. Optional kann PureLogs den Tor-Browser herunterladen, um seine Kommunikation zusätzlich zu verschleiern.

Ein wachsender Trend

Die Kombination aus PawsRunner und PureLogs steht für eine besorgniserregende Entwicklung: Stealer-Malware hat Ransomware als häufigste Bedrohung abgelöst. Das „Malware-as-a-Service"-Modell senkt die Einstiegshürde drastisch – selbst wenig versierte Angreifer können für eine geringe Gebühr professionelle Werkzeuge mieten.

Die Verwendung von Steganographie, einst eine Spezialdisziplin von Geheimdiensten, hält zunehmend Einzug in die Breite. Indem Angreifer ihre Schadsoftware in legitimen Dateien verstecken, umgehen sie traditionelle Signaturerkennung und einfache Netzwerkanalysen.

Da Cyberkriminelle ihre Methoden ständig verfeinern, müssen Unternehmen proaktiv aufrüsten, um sensible Daten zu schützen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und Ihre IT-Sicherheit ohne teure Investitionen nachhaltig stärken. IT-Sicherheits-Guide für Unternehmer jetzt kostenlos sichern

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten empfehlen, die E-Mail-Sicherheit auf seltene Archivformate wie TXZ auszuweiten. Besondere Aufmerksamkeit gilt verdächtigen PowerShell-Aktivitäten, vor allem bei „Invoke-Expression"-Befehlen oder der Manipulation von Umgebungsvariablen.

Fortgeschrittene Bildanalyse und angepasste EDR-Regeln zur Erkennung von .NET-Reflection-Ladevorgängen können helfen, die versteckten Infektionsstadien zu identifizieren. Die Kampagne ist weiterhin aktiv – die Sicherheitsbranche beobachtet die C2-Infrastruktur genau.

de | wissenschaft | 69364671 |