Nachrichten, Bedrohungsinformationen

Öffnen Sie die falsche „PDF“-Datei, und Angreifer erhalten Fernzugriff auf Ihren PC.

von Pieter Arntz | 5. Februar 2026
PDF und RAT

Die Cyberkriminellen hinter einer Kampagne namens DEAD#VAX gehen beim Phishing noch einen Schritt weiter, indem sie Malware in virtuellen Festplatten verstecken, die wie normale PDF-Dokumente aussehen. Wenn Sie die falsche „Rechnung” oder „Bestellung” öffnen, sehen Sie überhaupt kein Dokument. Stattdessen Windows ein virtuelles Laufwerk, das unbemerkt AsyncRAT installiert, einen Backdoor-Trojaner, mit dem Angreifer Ihren Computer aus der Ferne überwachen und steuern können.

Es handelt sich um ein Fernzugriffstool, was bedeutet, dass Angreifer die Fernsteuerung über die Tastatur erlangen, während herkömmliche dateibasierte Abwehrmaßnahmen fast nichts Verdächtiges auf der Festplatte erkennen.

Aus der Vogelperspektive betrachtet ist die Infektionskette lang, aber jeder einzelne Schritt sieht für sich genommen gerade legitim genug aus, um bei oberflächlichen Kontrollen nicht aufzufallen.

Die Opfer erhalten Phishing-E-Mails, die wie normale Geschäftsnachrichten aussehen, oft mit Bezug auf Bestellungen oder Rechnungen und manchmal unter dem Namen echter Unternehmen. Die E-Mail enthält keinen direkten Dokumentenanhang. Stattdessen enthält sie einen Link zu einer Datei, die auf IPFS (InterPlanetary File System) gehostet wird, einem dezentralen Speichernetzwerk, das zunehmend für Phishing-Kampagnen missbraucht wird, da Inhalte dort schwerer zu entfernen sind und über normale Web-Gateways abgerufen werden können.

Die verknüpfte Datei hat den Namen einer PDF-Datei und das PDF-Symbol, ist jedoch tatsächlich eine virtuelle Festplattendatei (VHD). Wenn der Benutzer darauf doppelklickt, Windows sie als neues Laufwerk (z. B. Laufwerk E:) anstatt einen Dokumentbetrachter zu öffnen. Das Mounten von VHDs ist Windows völlig legitimes Windows , sodass dieser Schritt weniger wahrscheinlich Alarm auslöst.

Auf dem gemounteten Laufwerk befindet sich das scheinbar erwartete Dokument, tatsächlich handelt es sich jedoch um eineWindows File (WSF). Wenn der Benutzer diese Datei öffnet, Windows den Code in der Datei Windows , anstatt eine PDF-Datei anzuzeigen.

Nach einigen Überprüfungen zur Vermeidung von Analysen und Erkennung injiziert das Skript die Nutzlast – AsyncRAT-Shellcode – in vertrauenswürdige, von Microsoft signierte Prozesse wie RuntimeBroker.exe, OneDrive.exe, taskhostw.exe, oder sihost.exeDie Malware schreibt niemals eine tatsächlich ausführbare Datei auf die Festplatte. Sie befindet sich vollständig im Arbeitsspeicher dieser legitimen Prozesse und wird dort ausgeführt, was die Erkennung und später auch die forensische Untersuchung erheblich erschwert. Außerdem vermeidet sie plötzliche Spitzen in der Aktivität oder der Speichernutzung, die Aufmerksamkeit erregen könnten.

Für einen einzelnen Benutzer kann das Hereinfallen auf diese Phishing-E-Mail folgende Folgen haben:

  • Theft gespeicherter und eingegebener Passwörter, darunter für E-Mail, Online-Banking und soziale Medien.
  • Offenlegung vertraulicher Dokumente, Fotos oder anderer sensibler Dateien, die direkt aus dem System entnommen wurden.
  • Überwachung durch regelmäßige Screenshots oder, sofern konfiguriert, durch Webcam-Aufnahmen.
  • Nutzung des Geräts als Sprungbrett, um andere Geräte im selben Heim- oder Büronetzwerk anzugreifen.

Wie man sicher bleibt

Da die Erkennung schwierig sein kann, ist es wichtig, dass Benutzer bestimmte Überprüfungen durchführen:

  • Öffnen Sie E-Mail-Anhänge erst, nachdem Sie sich bei einer vertrauenswürdigen Quelle vergewissert haben, dass sie echt sind.
  • Stellen Sie sicher, dass Sie das tatsächliche DateiendungenLeider Windows den Benutzern, diese zu verbergen. Wenn die Datei also in Wirklichkeit den Namen invoice.pdf.vhd Der Benutzer würde nur sehen invoice.pdfWie das geht, erfahren Sie weiter unten.
  • Verwenden Sie eine aktuelle Echtzeit-Anti-Malware-Lösung, die Malware erkennen kann, die sich im Arbeitsspeicher versteckt.

Anzeigen von Dateierweiterungen unter Windows und 11

So zeigen Sie Dateierweiterungen in Windows und 11 an:

  • Explorer öffnen (Windows + E)
  • Wählen Sie in Windows „Ansicht“ und aktivieren Sie das Kontrollkästchen„Dateinamenerweiterungen“.
  • In Windows finden Sie diese Option unter„Ansicht “ > „Anzeigen “ > „Dateinamenerweiterungen“.

Alternativ können Sie nach „Datei-Explorer-Optionen“ suchen und dort die Option „Erweiterungen für bekannte Dateitypen ausblenden“ deaktivieren.

Für ältere Windows lesen Sie bitte diesen Artikel.

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

AI
Eine Hand greift nach unten, um ein Sternchen aus einem geschriebenen Passwort zu nehmen.

KI-generierte Passwörter sind ein Sicherheitsrisiko.

Februar 19, 2026

KI-generierte Passwörter sind „sehr vorhersehbar“ und nicht wirklich zufällig, sodass sie für Cyberkriminelle leichter zu knacken sind.

Nachrichten
Tenga-Logo

Der Hersteller von Intimprodukten Tenga hat Kundendaten verloren.

Februar 19, 2026

Ein Phishing-Angriff auf einen Mitarbeiter von Tenga könnte US-Kundendaten offengelegt haben. Kunden sollten auf Phishing-Versuche mit Sextortion-Thematik achten.

Datenschutzverletzungen
Betterment-Logo

Die Datenpanne bei Betterment könnte schlimmer sein als gedacht

Februar 18, 2026

Dieser Verstoß scheint nun weitaus schwerwiegender zu sein. Die durchgesickerten Daten enthalten umfangreiche persönliche und finanzielle Details, die Phisher nutzen könnten.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug