{"id":665196,"date":"2025-12-22T21:02:14","date_gmt":"2025-12-22T21:02:14","guid":{"rendered":"https:\/\/www.europesays.com\/de\/665196\/"},"modified":"2025-12-22T21:02:14","modified_gmt":"2025-12-22T21:02:14","slug":"boerse-express-neue-phishing-kampagne-bedroht-industrie-und-behoerden-in-europa","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/665196\/","title":{"rendered":"B\u00f6rse Express – Neue Phishing-Kampagne bedroht Industrie und Beh\u00f6rden in Europa"},"content":{"rendered":"

\n Eine aktuelle Cyberkampagne nutzt manipulierte Bestellbest\u00e4tigungen, um einen vielseitigen VBS-Loader einzuschleusen. Deutsche Unternehmen sind durch neuartige Verschleierungstechniken besonders gef\u00e4hrdet.\n <\/p>\n

Eine hochgef\u00e4hrliche Phishing-Kampagne mit neuartigen Verschleierungstechniken zielt gezielt auf Industrieunternehmen und Beh\u00f6rden in Europa und dem Nahen Osten ab. Deutsche Sicherheitsexperten warnen vor der als „Stealth in Layers“ identifizierten Attacke, die \u00fcber manipulierte Bestellbest\u00e4tigungen eingeschleust wird.<\/p>\n

Raffinierter Angriff mit getarnter Schadsoftware<\/p>\n

Forscher von Cyble Research and Intelligence Labs (CRIL) haben in der vergangenen Woche eine beunruhigende Entwicklung dokumentiert: Eine koordinierte Kampagne bedient sich ausgekl\u00fcgelter Social-Engineering-Methoden, um zun\u00e4chst einen vielseitigen VBS-Loader<\/strong> einzuschleusen. Dieser dient als Plattform f\u00fcr verschiedene Schadprogramme.<\/p>\n

Die Angreifer verschicken t\u00e4uschend echte E-Mails mit dem Betreff „Purchase Order“ \u2013 also Bestellbest\u00e4tigungen. Angeh\u00e4ngt sind manipulierte Office-Dokumente, SVG-Grafikdateien oder ZIP-Archive. Klicken Mitarbeiter in Einkauf oder Verwaltung auf diese Anh\u00e4nge, beginnt eine mehrstufige Infektionskette.<\/p>\n

„Die Kombination aus klassischem Phishing und modernster Evasionstechnik macht diese Bedrohung so gef\u00e4hrlich“, analysieren die Cyble-Forscher in ihrem Bericht vom 19. Dezember. Besonders betroffen sind bisher Italien, Finnland und Saudi-Arabien.<\/p>\n

Neuartige UAC-Umgehung t\u00e4uscht Nutzer<\/p>\n

Das technisch Besondere an dieser Kampagne ist ein neuartiger Mechanismus zur Umgehung der User Account Control (UAC)<\/strong>. Normalerweise fordert Windows bei privilegierten Aktionen eine explizite Best\u00e4tigung durch den Nutzer. Diese Malware umgeht den Schutz durch einen trickreichen Zeitpunkt: Sie l\u00f6st die Abfrage erst aus, wenn der Nutzer ohnehin einen legitimen Prozess startet.<\/p>\n

Der ahnungslose Anwender best\u00e4tigt also eine Systemabfrage, die er f\u00fcr normal h\u00e4lt \u2013 und gew\u00e4hrt damit der Schadsoftware Administratorrechte. Im Hintergrund werden sch\u00e4dliche PowerShell-Befehle mit vollen Zugriffsrechten ausgef\u00fchrt.<\/p>\n

Noch raffinierter: Die Angreifer haben legitime Open-Source-Bibliotheken manipuliert. Die vertrauensw\u00fcrdige TaskScheduler<\/strong>-Bibliothek wurde mit b\u00f6sartigem Code angereichert und neu kompiliert. Die resultierende „Hybrid-Assembly“ erf\u00fcllt weiterhin ihre eigentliche Funktion \u2013 versteckt aber zus\u00e4tzliche Schadroutinen.<\/p>\n

Vielf\u00e4ltige Schadlasten f\u00fcr Industriespionage<\/p>\n

Einmal installiert, fungiert der VBS-Loader als Verteilerplattform f\u00fcr verschiedene Schadprogramme. Je nach Ziel des Angreifers k\u00f6nnen unterschiedliche Payloads nachgeladen werden:<\/p>\n