Ein Programm, das eigentlich für Fernwartung gedacht ist, eine vermeintliche Hilfe für verlorene Krypto-Wallets oder eine harmlose Audiodatei: Was für Nutzer alltäglich wirkt, kann laut einer neuen Analyse zur gefährlichen Falle werden. Cyberkriminelle setzen immer häufiger auf bekannte Software und täuschend echte Tricks, um die Kontrolle über Computer zu übernehmen. Der aktuelle Threat Insights Report von HP zeigt, dass Angreifer ihre Methoden zunehmend an normale Arbeitsabläufe anpassen. Dadurch wird es schwieriger zu erkennen, ob eine Aktion tatsächlich legitim ist oder im Hintergrund ein Angriff läuft.
Für die Untersuchung analysierte das HP Threat Research Team Daten aus Millionen Geräten, auf denen HP Wolf Security eingesetzt wird. Die Ergebnisse beziehen sich auf den Zeitraum von Jänner bis März 2026 und zeigen mehrere aktuelle Angriffsmethoden. Eine der auffälligsten Entwicklungen betrifft sogenannte Remote-Zugriff-Tools. Diese Programme werden normalerweise von IT-Abteilungen genutzt, um Computer aus der Ferne zu warten oder Probleme zu lösen. Cyberkriminelle missbrauchen laut HP jedoch genau dieses Vertrauen.
In den untersuchten Fällen lockten sie Nutzer etwa mit gefälschten Phishing-Mails zum Steuerjahresende oder manipulierten Downloads von Desktop-Apps auf Webseiten. Auch gefälschte Angebote auf Dating-Websites wurden als Köder genutzt. Nach der Installation der Programme können Angreifer die Kontrolle über den Rechner übernehmen und sich dabei teilweise wie normale IT-Aktivitäten tarnen. Betroffen waren unter anderem bekannte Werkzeuge wie LogMeIn und ScreenConnect.
Patrick Schläpfer, Principal Threat Researcher beim HP Security Lab, erklärt: "Was bei diesen Kampagnen auffällt: Legitime Remote-Access-Tools werden leicht zu Einfallstoren für Angreifer. Die Kombination vertrauenswürdiger Software mit sorgfältig konzipiertem Social Engineering – verbunden mit Ereignissen wie dem Ende des Steuerjahres – erschweren es, zu unterscheiden, was vertrauenswürdig ist und was nicht." Auch der Bereich Kryptowährungen bleibt ein beliebtes Ziel. HP-Forscher entdeckten gefälschte Programme, die angeblich beim Wiederherstellen verlorener Krypto-Wallets helfen sollen.
Statt verlorene Zugänge zurückzubringen, sammeln diese Tools jedoch sensible Informationen. Dazu gehören Anmeldedaten, Wallet-Informationen und weitere Systemdaten. Anschließend werden die gestohlenen Daten für die Angreifer vorbereitet und weitergeleitet. Auffällig waren laut HP auch die verwendeten Skripte. Einige enthielten zahlreiche Emojis und deuteten auf eine zunehmende Nutzung von KI-gestützter Programmierung hin. Die Forscher sprechen in diesem Zusammenhang von sogenanntem "Vibe-Coding", bei dem künstliche Intelligenz beim Erstellen von Code unterstützen kann.
Eine weitere Masche nennt HP "ClickFix". Dabei versuchen Angreifer, Nutzer durch bekannte Abläufe zu täuschen. Die Schadsoftware wird etwa als Audiodatei getarnt und über professionell wirkende gefälschte Webseiten verbreitet. Dort werden Nutzer mit realistisch aussehenden CAPTCHA-Abfragen dazu gebracht, selbst bestimmte Befehle auszuführen. Die Opfer lösen dadurch unbewusst den Download und die Ausführung von Schadcode aus. Gerade weil CAPTCHAs und bekannte Download-Prozesse für viele Menschen zum Alltag gehören, können solche Angriffe besonders schwer zu erkennen sein.
Der Bericht zeigt außerdem, dass Cyberkriminelle immer häufiger versuchen, klassische Schutzmechanismen zu umgehen. Mindestens 11 Prozent der von HP Sure Click erkannten E-Mail-Bedrohungen konnten einen oder mehrere E-Mail-Gateway-Scanner umgehen. Bei der Verbreitung von Schadsoftware waren ausführbare Dateien mit 39 Prozent die häufigste Methode. Danach folgten Archivdateien mit 38 Prozent und PDF-Dokumente mit 10 Prozent. Besonders PDF-Dateien gewinnen laut HP an Bedeutung. Angreifer nutzen dabei häufig Köder wie angebliche Gerichtsdokumente oder Informationen zu Bonuszahlungen, um bei Nutzern Zeitdruck und Neugier auszulösen.
Die größte Herausforderung besteht laut HP darin, dass moderne Cyberangriffe nicht mehr wie klassische Hackerangriffe wirken. Statt verdächtiger Dateien oder Warnungen setzen Kriminelle auf vertraute Abläufe. Alex Holland, Principal Threat Researcher beim HP Security Lab, sagt: "Die Angriffe sehen nicht wie Attacken aus – sie wirken wie ganz normale Geschäftsabläufe. Sie fügen sich in die normalen IT-Aktivitäten ein und vermeiden die mit Malware verbundenen Warnsignale." Unternehmen sollten deshalb nicht ausschließlich auf die Erkennung von Schadsoftware setzen. HP empfiehlt unter anderem, unnötige Nutzerrechte einzuschränken, Softwareinstallationen stärker zu kontrollieren und riskante Aktivitäten möglichst zu isolieren.