In den letzten Jahren hat sich die Cyberbedrohungslandschaft kontinuierlich weiterentwickelt, wobei Angreifer immer raffiniertere Techniken einsetzen, um Sicherheitsmaßnahmen zu umgehen und Privatsphäre sowie Daten zu kompromittieren. Eine der aktuellsten und besorgniserregendsten Entwicklungen ist die Verbreitung des fileless Remcos RAT (Remote Access Trojan), das über LNK-Dateien und MSHTA in PowerShell-basierten Angriffen verteilt wird. Diese Methode stellt neue Herausforderungen für die IT-Sicherheit dar, da sie herkömmliche Erkennungsmechanismen oftmals aushebelt und durch das Ausführen des Schadcodes direkt im Arbeitsspeicher minimale Spuren auf dem Datenträger hinterlässt. Die Kampagne setzt auf sogenannte LNK-Dateien – Windows-Verknüpfungen –, die in ZIP-Archiven verpackt und häufig als Office-Dokumente getarnt sind. Diese vermeintlich harmlosen Dateien werden über Phishing-Mails verbreitet, die oftmals steuerbezogene Betreffzeilen enthalten, um das Interesse der Opfer zu wecken.
Beim Öffnen der LNK-Datei startet das System das legitime Windows-Tool mshta.exe, welches für das Ausführen von HTML-Anwendungen (HTA) verwendet wird. Die Angreifer nutzen mshta.exe als Proxy, um den Schadcode auszuführen und so die Balance zwischen Effektivität und Tarnung zu wahren. Der an dieser Stelle ausgelöste Prozess lädt eine OCULTierte HTA-Datei namens „xlab22.
hta“ von einem Remote-Server herunter. Diese HTA-Datei enthält Visual Basic Script (VBS), das eine weitere PowerShell-Datei, ein decoy PDF sowie eine zweite HTA-Datei namens „311.hta“ herunterlädt. Die weitere Schadsoftware wird so verteilt, dass „311.hta“ als Autostart-Eintrag in der Windows-Registry hinterlegt wird, was eine persistente Infektion sicherstellt.
Diese Technik der Registry-Manipulation gehört zu den klassischen Methoden der Angreifer, um Neustarts zu überstehen und den Fernzugriff auf das System dauerhaft zu gewährleisten. Der auszuführende PowerShell-Script-Abschnitt spielt eine zentrale Rolle, da er den Shellcode-Loader entschlüsselt und zusammenbaut, der im Arbeitsspeicher ausgeführt wird. Das bedeutet, dass Remcos RAT ohne eine klassische Dateiablage direkt im Speicher geladen wird, was wiederum die Erkennung durch Antiviren-Software und EDR-Lösungen erschwert. Remcos RAT selbst ist eine vielseitige Malware, die es Angreifern ermöglicht, die Kontrolle über kompromittierte Systeme vollständig zu übernehmen. Der Trojaner ist modular aufgebaut und bietet Funktionen wie das Sammeln von Systeminformationen, das Protokollieren von Tastatureingaben (Keylogging), das Aufnehmen von Screenshots, das Überwachen der Zwischenablage sowie das Abfragen aller installierten Programme und laufenden Prozesse.
Darüber hinaus baut Remcos eine verschlüsselte TLS-Verbindung zu einem Command-and-Control-Server (C2) auf, der in diesem Fall unter der Domain „readysteaurants[.]com“ gehostet wird, um Befehle zu empfangen und Daten auszuleiten. Besonders gefährlich ist die fileless Umsetzung von Remcos, da dadurch kaum Artefakte auf dem infizierten Rechner zurückbleiben. Das bedeutet konkret, dass herkömmliche signaturbasierte Schutzmechanismen, die nach verdächtigen Dateien oder Malware-Signaturen auf der Festplatte suchen, an ihre Grenzen stoßen. Solche fileless Angriffe nutzen legitime Windows-Komponenten wie mshta.
exe und PowerShell, um den Schadcode auszuführen, was ihnen sowohl bei der Umgehung von Sicherheitslösungen hilft als auch die Analyse erschwert. Diese Angriffstechnik ist kein Einzelfall. Bereits im November 2024 hatte Fortinet FortiGuard Labs eine Phishing-Kampagne beschrieben, die ebenfalls eine fileless Deployierung von Remcos RAT verwendete, wenn auch mit anderen thematischen Täuschungen. Die stetige Weiterentwicklung solcher Methoden unterstreicht den zunehmenden Trend hin zu Memory-based Malware und der Nutzung eingebetteter Skriptsprachelemente. Der Cybersecurity-Experte J Stephen Kowski von SlashNext hebt hervor, dass die zunehmende Popularität von PowerShell-basierten Angriffen zeigt, wie schnell sich Kriminelle an neue Verteidigungsmechanismen anpassen.
Dieses Malware-Szenario macht klar, wie essenziell es für Unternehmen geworden ist, nicht nur perimeterbasierte Sicherheitslösungen einzusetzen, sondern auch eine tiefere, verhaltensbasierte Überwachung von PowerShell-Skripten zu implementieren. Zusätzlich rät er, moderne E-Mail-Sicherheitssysteme einzusetzen, die speziell auf die Erkennung schädlicher LNK-Anhänge ausgelegt sind, um Angriffe bereits im Keim zu ersticken, bevor ein Benutzer durch Phishing dazu verleitet wird, eine solche Datei zu öffnen. Parallel zu den Remcos-Angriffen beobachten Experten weitere Entwicklungen bei Schadsoftware-Loadern und Trojanern. So beschreibt Palo Alto Networks Unit 42 gemeinsam mit Threatray die Nutzung eines mehrstufigen .NET-Loaders, der verschiedene Malwarefamilien wie Agent Tesla, NovaStealer, VIPKeylogger und XLoader verbreitet.
Bemerkenswert ist die Verwendung von Bitmap-Ressourcen, um Schadcode zu verstecken – ein Beispiel für die zunehmende Verwendung von Steganographie-Techniken, die obskure Verteilungsmethoden ermöglichen und Sicherheitssoftware herausfordern. Darüber hinaus wird die Bedrohungslandschaft derzeit durch eine Vielzahl komplexer Social-Engineering- und Phishing-Kampagnen ergänzt, die es auf die Entwendung von Zugangsdaten sowie auf die Installation weiterer Schadprogramme abgesehen haben. Zum Beispiel werden modifizierte Versionen des Passwortmanagers KeePass verteufelt, um einen Cobalt Strike Beacon und damit Backdoor-Funktionalität zu installieren. Andere Kampagnen setzen auf geschickte Verteilung von Schadsoftware über manipulierte Office-Dateien, PDF-Lures oder authentisch wirkende HTML-Anhänge, die über beliebte Cloud-Dienste wie OneDrive weitergeleitet werden, um eine Vorabprüfung durch Sicherheitslösungen zu umgehen. Die Kombination aus diesem technisch ausgeklügelten fileless Ansatz und dem Einsatz künstlicher Intelligenz (KI) zur automatisierten und polymorphen Erstellung von Phishing-Mails für noch effektivere Täuschung macht das Schadsoftware-Ökosystem gefährlicher.
Die KI-Technologien ermöglichen es Angreifern, automatisch Betreffzeilen, Absenderadressen und Inhalte dynamisch zu verändern, wodurch sich herkömmliche Filtertechniken weiterhin als unzureichend erweisen und die Verbreitung von Malware quasi in Echtzeit neu justiert wird. Für Organisationen und Privatanwender ist das Bewusstsein für die Gefahren durch fileless Malware ein grundlegender Schritt bei der Verbesserung der eigenen Sicherheitslage. Es reicht nicht mehr aus, sich ausschließlich auf antivirale Scanner zu verlassen. Um die Verteidigung gegen Angriffe wie die beschriebenen Remcos-Kampagnen zu stärken, sollten Unternehmen umfassende Schutzstrategien mit Fokus auf die Überwachung von PowerShell-Aktivitäten, das Blockieren von verdächtigen LNK-Anhängen in E-Mails, die Absicherung der Windows-Registry und die Detektion ungewöhnlicher Netzwerkaktivitäten implementieren. Zudem empfiehlt es sich, regelmäßig Sicherheitsschulungen durchzuführen, um insbesondere Mitarbeiter für die Risiken von Phishing und manipulierten Anhängen zu sensibilisieren.
Diese Maßnahmen können maßgeblich dazu beitragen, initiale Infektionen zu verhindern und die Wirkung eines potentiellen Angriffs zu reduzieren. Insgesamt unterstreicht die aktuelle Remcos-RAT-Kampagne die dynamische Natur moderner Cyberangriffe, die sich rasch an neue Abwehrmaßnahmen anpassen und dabei zunehmend auf fileless Techniken setzen, um unentdeckt zu bleiben. Nur durch eine Kombination aus technologischer Innovation, Mitarbeiteraufklärung und proaktiver Überwachung kann die Bedrohungslage effektiv eingedämmt und die Integrität von IT-Systemen langfristig gesichert werden.
