Remcos-RAT: Phishing mit verstecktem Code schädigt Millionen
22.06.2026 - 15:37:45 | boerse-global.de
Sicherheitsforscher haben am heutigen Montag eine hochentwickelte Phishing-Kampagne aufgedeckt, die mit versteckten Bilddaten und speicherresidenter Schadsoftware arbeitet. Der Remcos Remote Access Trojan (RAT) gelangt über gefälschte Finanzdokumente auf die Systeme der Opfer – und bleibt dort oft unbemerkt.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Tricks und Hacker-Angriffe schützen kann. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Finanzielle Köder als Einfallstor
Die Angreifer setzen auf perfide Täuschung: Sie versenden E-Mails mit Anhängen, die wie offizielle Steuerbescheide oder Zahlungsrechnungen aussehen. Dateinamen wie „GST Debit Note Apr_26.com" oder gefälschte Steuerbenachrichtigungen sollen die Empfänger zum Öffnen verleiten. Besonders im Visier: Nutzer in Indien, wo das lokale Steuersystem (Goods and Services Tax) als Vorlage dient.
Der Infektionsweg beginnt meist mit einem Archiv-Anhang oder einer ausführbaren Datei. Diese tarnt sich als harmloses Dokument – entpuppt sich aber als Loader für die eigentliche Schadsoftware.
Versteckt im Pixel: Die Steganografie-Methode
Das Herzstück der Angriffskette ist ein raffinierter Trick: Die Angreifer verstecken den Schadcode in einer .NET-Bitmap-Datei. Die bösartigen Daten sind buchstäblich in die Bildpunkte eingebettet – für herkömmliche Virenscanner auf Basis von Signaturen unsichtbar.
Der Loader extrahiert die Schadsoftware und führt sie direkt im Arbeitsspeicher aus. Diese „fileless"-Technik hinterlässt kaum Spuren auf der Festplatte und umgeht klassische Antiviren-Lösungen. Zusätzlich laden die Angreifer spezifische DLLs wie Optimax.dll oder System Optimizer Ultimate.dll in den Speicher.
Technische Raffinesse und Payload-Vielfalt
Einmal aktiv, zeigt der Remcos-RAT sein ganzes Können:
- Process Hollowing: Der Trojaner injiziert seinen Code in legitime Systemprozesse, um nicht aufzufallen
- UAC-Bypass: Er umgeht die Windows-Benutzerkontensteuerung, um höhere Privilegien zu erlangen
- Sandbox-Erkennung: Die Malware prüft, ob sie in einer Analyseumgebung läuft, und verweigert dann die Ausführung
Doch die Kampagne beschränkt sich nicht auf Remcos. Die Infrastruktur fungiert als „Loader-as-a-Service" – ein Modell, das die Verteilung verschiedenster Schadsoftware erlaubt. Neben Remcos wurden auch Informationsdiebe wie Agent Tesla, MassLogger, Formbook, RedLine und Phantom Stealer über denselben Kanal ausgeliefert.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch Trojaner und Informationsdiebe – diese Checkliste hilft Ihnen, es zu verhindern. Erfahrene IT-Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen, bevor es zu spät ist. Gratis-E-Book: Cyber Security Bedrohungen abwenden
Gezielte Angriffe und Command-and-Control
Die geografische Fokussierung auf Indien ist kein Zufall. Durch die Nutzung lokaler Steuerthemen erhöhen die Angreifer die Erfolgswahrscheinlichkeit drastisch. Die Forscher identifizierten eine spezifische Command-and-Control-IP-Adresse (62.102.148.212), die für die Steuerung der Botnetze verantwortlich ist.
Das Hauptziel: Die Extraktion von Browser-Zugangsdaten und die Überwachung der Opferaktivitäten für weitere finanzielle Ausbeutung. Sicherheitsunternehmen haben inzwischen Indikatoren für Kompromittierung (IOCs) veröffentlicht, um Unternehmen und Nutzer zu warnen.
