Wie Cyberkriminelle Opfer mit täuschend echten Animationen in die Falle locken

Mit professionell gestalteten Animationen und käuflichen Malware-Diensten versuchen Cyberkriminelle mit immer ausgefeilteren Techniken, Opfer in die Falle zu locken. Überzeugende Grafiken, Hosting-Plattformen wie Discord sowie regelmässig aktualisierte Malware-Kits erschweren laut dem HP Threat Insight Report die Erkennung von Cyberkampagnen. Für den Bericht habe HP reale Cyberangriffe ausgewertet, die zwischen Juli und September 2025 bei Kunden von HP Wolf Security beobachtet wurden. Der Bericht hebt drei Kampagnen hervor, die bei der Analyse besonders aufgefallen sind.

Umgehung der Endpunkt-Sicherheits-Scanner durch DLL-Sideloading

In einer Kampagne haben sich gemäss HP Kriminelle als kolumbianische Staatsanwaltschaft ausgegeben und vermeintlich rechtliche Warnungen per E-Mail versendet. Opfer, die auf den Link klickten, seien dadurch auf eine gefälschte Regierungswebsite geleitet worden. Eine Auto-Scroll-Animation verleitete dort zur Eingabe eines "Einmalpassworts" und daraufhin zum Öffnen einer bösartigen passwortgeschützten Archivdatei.

In der Datei steckte laut Bericht ein Ordner mit bösartig veränderter Dynamic Link Library (DLL), die im Hintergrund die Malware Purerat herunterlud. Diese Malware ermöglichte den Cyberkriminellen, die vollständige Kontrolle über das Gerät des Opfers zu übernehmen, wie HP schreibt. Antiviren-Tools hätten lediglich 4 Prozent dieser Samples erkennen können.

Remote-Access-Tool durch gefälschtes Adobe-Update

In einer weiteren Kampagne hätten Angreifer User mit einer gefälschten PDF-Datei, die als vermeintlicher Adobe-Hinweis getarnt war, auf eine betrügerische Website gelockt. Auf dieser erschien laut HP eine inszenierte Animation mit gefälschten Installationsbalken - optisch kaum von einer echten Adobe-Installation zu unterscheiden.

Wer der Täuschung folgte, hätte eine manipulierte Ausführungsdatei von Screenconnect heruntergeladen. Dabei handelte es sich um ein eigentlich legitimes Remote-Access-Tool, das sich in diesem Fall gemäss Bericht jedoch mit von den Angreifern kontrollierten Servern verband. Auf diese Weise hätten die Kriminellen ebenfalls die vollständige Kontrolle über das Gerät des Opfers erlangt.

Umgehung von Windows-11-Sicherheitsmassnahmen mit Discord-Malware

Bei dieser Kampagne hätten Cyberkriminelle ihren Schadcode auf Discord gehostet, um keine eigene Infrastruktur betreiben zu müssen und gleichzeitig von der guten Domain-Reputation der Plattform zu profitieren. Vor der eigentlichen Ausführung manipulierte die Malware den Windows‑11‑Speicherschutz "Memory Integrity" und umging so diese Sicherheitsfunktion, wie HP schreibt. Anschliessend habe die Infektionskette den sogenannten Phantom Stealer ausgeliefert, der vorgefertigte Funktionen zum Stehlen von Anmelde- und Finanzdaten enthalte. Laut HP wird die Malware regelmässig aktualisiert, um eine Erkennung durch moderne Sicherheitstools zu vermeiden.

Cyberangriffe über Cookies

Eine weitere Angriffsmethode beschreibt der HP Threat Research Blog über denDiebstahl von Cookies, die bestätigen, dass User bereits angemeldet sind. Mit diesen Cookies erhielten Kriminellen unmittelbar Zugriff auf Systeme und können dadurch sensible Ressource kompromittieren. Laut HP-Analyse entfielen im dritten Quartal 2025 rund 57 Prozent der bedeutendsten Malware-Familien auf Infostealer. Diese verfügten in der Regel über Funktionen zum Diebstahl solcher Cookies.

Als Beispiele, wie Cyberkriminelle ihre Angriffsmethoden diversifizieren und somit Sicherheitstools umgehen, nennt der HP Threat Insight Report folgende Punkte:

• Mindestens 11 Prozent der E-Mail-Bedrohungen, die von HP Sure Click identifiziert wurden, hätten einen oder mehrere E-Mail-Gateway-Scanner umgangen.
• Mit über 45 Prozent seien Archivdateien die beliebteste Art, Malware zu übertragen. Im Vergleich zum zweiten Quartal betrage das einen Anstieg von 5 Prozentpunkten. Dabei würden Kriminelle vermehrt bösartige .tar- und .z-Archivdateien nutzen.
• 11 Prozent der von HP Wolf Security gestoppten Bedrohungen seien im dritten Quartal 2025 PDF-Dateien gewesen, was einem Wachstum von 3 Prozentpunkten im Vergleich zum vorangegangenen Quartal entspreche.

"Da Angreifer legitime Plattformen missbrauchen, vertrauenswürdige Marken imitieren und visuell überzeugende Täuschungen wie Animationen einsetzen, übersehen selbst leistungsstarke Erkennungstools einige Bedrohungen", lässt sich Ian Pratt, Global Head of Security for Personal Systems bei HP, zitieren. "Sicherheitsteams können nicht jeden Angriff vorhersehen. Durch die Isolierung risikoreicher Interaktionen, wie das Öffnen nicht vertrauenswürdiger Dateien und Websites, erhalten Unternehmen jedoch ein Sicherheitsnetz, das Bedrohungen abfängt, bevor sie Schaden anrichten können - ohne eine Einschränkung für die Nutzer."

In einem vergangenen HP Threat Insights Report warnte das Unternehmen vor Schadsoftware über gefälschte Cookie-Banner. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.