Woche 33: Angreifer setzen bei der Verteilung von Schadsoftware auf Social Engineering

Service navigation

Suche

Navigation

Woche 33: Angreifer setzen bei der Verteilung von Schadsoftware auf Social Engineering

19.08.2025 - In der vergangenen Woche wurden dem BACS zwei Vorfälle gemeldet, bei denen Angreifer versuchten, Empfänger zur Installation von Schadsoftware zu verleiten. Diese Fälle zeigen exemplarisch, wie stark sich die Methoden verändert haben: Schadsoftware auf einem Computer zu platzieren, ist heute deutlich schwieriger als noch vor einigen Jahren. Angreifer setzen deshalb vermehrt auf ausgeklügeltes Social Engineering, um ihre Ziele zu erreichen.

Im ersten Halbjahr 2025 wurden dem BACS über das öffentliche Meldeformular lediglich 182 Fälle im Zusammenhang mit Schadsoftware gemeldet – das entspricht nur rund 0,4 % aller in diesem Zeitraum eingegangenen Meldungen. Diese geringe Zahl lässt zwei Interpretationen zu: Positiv betrachtet, sind technische Schutzmechanismen wie Antivirenprogramme und Spamfilter mittlerweile so effektiv, dass sie die meisten Schadsoftware-Angriffe bereits vor der Ausführung stoppen und deshalb auch zu weniger Meldungen beim BACS führen. Die negative Sichtweise lautet, dass die Angriffe so raffiniert geworden sind, dass sie von den Betroffenen nicht erkannt und daher auch nicht gemeldet werden.

Ganz verschwunden sind Angriffe mit Schadsoftware dennoch nicht. In der letzten Zeit erhält das BACS wieder vermehrt Meldungen zu E-Mails, mit denen versucht wird, Schadsoftware zu verbreiten – so auch in der letzten Woche, wie die folgenden zwei aktuellen Beispiele zeigen.

Gefälschte Rechnung im Namen von Intrum

Letzte Woche wurden im Namen des Inkassounternehmens Intrum gefälschte Rechnungen beziehungsweise Mahnungen per E-Mail verschickt. Die Nachricht verweist auf eine angebliche QR-Rechnung im Anhang, die zur Bezahlung geöffnet werden soll. Tatsächlich handelt es sich beim Anhang jedoch nicht um eine PDF-Datei, sondern um eine HTML-Datei.

Beim Öffnen wird dem Empfänger suggeriert, dass die PDF-Datei nicht angezeigt werden könne, da JavaScript deaktiviert sei.

Die Fehlermeldung suggeriert, dass das Dokument nicht angezeigt werden kann.
Die Fehlermeldung suggeriert, dass das Dokument nicht angezeigt werden kann.

Um JavaScript zu aktivieren, müsse die Tastenkombination «Windows+R» und «Ctrl+V» gedrückt werden – eine bekannte Methode, die bereits in einem früheren Wochenrückblick des BACS thematisiert worden ist. Beim Laden der HTML-Datei wird ein bösartiges PowerShell-Skript in die Zwischenablage des Computers kopiert. Ein PowerShell-Skript ist eine Textdatei, welche die Befehle enthält, die der Computer ausführen soll.

Die Benutzer werden dazu verleitet, ein bösartiges Skript durch Drücken der Tastenkombinationen «Windows+R» und «Ctrl+V» auszuführen.
Die Benutzer werden dazu verleitet, ein bösartiges Skript durch Drücken der Tastenkombinationen «Windows+R» und «Ctrl+V» auszuführen.

Durch das Drücken der Tastenkombination wird ein Fenster geöffnet, in dem man Befehle ausführen kann. Die Tastenkombination «Ctrl+V» fügt den bösartigen Befehl aus der Zwischenablage in dieses Fenster ein. Danach verbindet sich der Computer mit einem Server der Angreifer und eine Schadsoftware wird heruntergeladen und installiert.

Angebliche Zahlungsaufforderung der UBS

Ein weiterer Fall betrifft eine gefälschte Zahlungsaufforderung im Namen der UBS. Auch hier wird der Empfänger aufgefordert, eine der E-Mail angefügte Datei zu öffnen. In diesem Fall handelt es sich tatsächlich um eine PDF-Datei, jedoch ist diese passwortgeschützt. Das Passwort wird aber praktischerweise direkt in der E-Mail mitgeliefert.

Die PDF-Datei ist passwortgeschützt, vermutlich um die Sicherheitstools zu überlisten.
Die PDF-Datei ist passwortgeschützt, vermutlich um die Sicherheitstools zu überlisten.

Die Vorgehensweise dient wohl dazu, Sicherheitsmechanismen wie Spamfilter und Antivirenprogramme zu umgehen, da diese den Inhalt der passwortgeschützten Datei nicht analysieren können. Nach Eingabe des Passworts öffnet sich das PDF, das vorgibt, dass sich der eigentliche Inhalt auf einem OneDrive-Laufwerk befindet.

Das PDF täuscht vor, dass eine Datei auf OneDrive hinterlegt ist. Um das Dokument zu öffnen, soll man den Link anklicken.
Das PDF täuscht vor, dass eine Datei auf OneDrive hinterlegt ist. Um das Dokument zu öffnen, soll man den Link anklicken.

Der angegebene Link führt zum Download einer Archivdatei, in der sich eine sogenannte «Batch»-Datei befindet. Dabei handelt es sich um eine ausführbare Textdatei, die Kommandos enthält. Durch deren Ausführung wird die Schadsoftware analog zum ersten Beispiel heruntergeladen und installiert.

Die beiden Beispiele zeigen, wie komplex und mehrstufig die Angriffe mittlerweile aufgebaut sind. Eine einfache ausführbare Datei im E-Mail-Anhang reicht längst nicht mehr aus, um einen Computer zu infizieren. Stattdessen setzen Angreifer auf ausgeklügelte Täuschungsmanöver, um technische Schutzmechanismen zu umgehen und die Opfer zur aktiven Mitwirkung zu bewegen. Wachsamkeit und Sensibilisierung bleiben daher zentrale Elemente der Cybersicherheit.

Empfehlungen

  • Klicken Sie keine Links in E-Mails und Textnachrichten an.    
  • Wenn Sie eine Mahnung erwarten, setzen Sie sich mit dem Inkassounternehmen oder der Krankenkasse in Verbindung, um zu klären, ob die Forderung tatsächlich berechtigt ist. Nutzen Sie dazu die Kontaktdaten auf den offiziellen Internetseiten der Unternehmen.    
  • Wenn Sie den Verdacht haben, dass die Schadsoftware installiert wurde, wenden Sie sich an ein Computerfachgeschäft. Am sichersten ist es, den Computer komplett neu zu installieren. Vergessen Sie nicht, vorher alle persönlichen Daten zu sichern.
  • Ändern Sie nach der Neuinstallation bei allen Online-Zugängen (E-Mail, soziale Netzwerke usw.) Ihre Passwörter.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 19.08.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_33.html