OnionDrop, Malware

OnionDrop: Malware nutzt Adobe-Signatur gegen 645 DLL-Varianten

Veröffentlicht: 17.06.2026 um 14:25 Uhr, Redaktion boerse-global.de

Die OnionDrop-Kampagne nutzt Adobe-Signaturen und vierstufige Tarnung, um Daten von deutschen Unternehmen zu stehlen.

OnionDrop Malware: Deutsche Firmen im Visier raffinierter Hacker
A shadowy figure in a hoodie types on a laptop, with lines of code and digital lock icons overlaid, symbolizing a cyberattack. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Seit Februar 2025 sind deutsche Unternehmen und Privatanwender ins Visier einer hochentwickelten Malware-Operation geraten. Die als OnionDrop bekannte Kampagne nutzt raffinierte Tarnmethoden, um Sicherheitssoftware zu umgehen.

Adobe-Signatur als Einfallstor

Die Angreifer setzen auf eine besonders perfide Methode: Sie kapern eine legitime, digital signierte Datei von Adobe. Genauer gesagt missbrauchen sie AcroBroker.exe fĂŒr eine Technik namens DLL-Sideloading. Da das Betriebssystem der signierten Adobe-Datei vertraut, laden sich die schĂ€dlichen DLLs unbemerkt in den Speicher.

Anzeige

Da Angriffe auf Windows-Systeme immer komplexer werden und legitime Dateien fĂŒr ihre Tarnung missbrauchen, ist ein spezialisierter Schutz unerlĂ€sslich. Dieser kostenlose Ratgeber macht Ihren Rechner zur Festung gegen Viren und Hacker. Kostenloses Anti-Virus-Paket jetzt sichern

Die Sicherheitsforscher des Cyderes Howler Cell Threat Research Teams entdeckten zwischen Ende Februar und Ende Mai ĂŒber 645 verschiedene DLL-Varianten. Die Kommandozentrale der Hacker befindet sich auf dem Server gainmsg[.]com/nfront[.]php – von dort aus steuern sie die Verteilung der Schadsoftware.

Vierstufige Tarnung gegen Sicherheitssoftware

Was OnionDrop besonders gefÀhrlich macht, ist die mehrschichtige Verschleierung. Der Schadcode durchlÀuft vier Entpackungsstufen, bevor er aktiv wird:

  • Byte-Pair-Encoding (BPE) zur Komprimierung
  • Xpress Huffman-Kompression
  • AES-256-CBC-VerschlĂŒsselung
  • Donut-Shellcode mit Thread-Pool-Callbacks

Diese Kombination erschwert Analysen durch Sicherheitssoftware enorm. ZusĂ€tzlich prĂŒft die Malware, ob sie in einer virtuellen Umgebung lĂ€uft – etwa in den Sandboxen von Virenscannern. Erkennt sie eine solche Analyseumgebung, stellt sie ihre AktivitĂ€t sofort ein.

Die Sicherheitsexperten vergleichen die KomplexitÀt der Tarnmethoden mit denen staatlicher Hacker-Gruppen.

Anzeige

Da Malware-Kampagnen wie OnionDrop gezielt deutsche Firmen ins Visier nehmen, ist eine fundierte Sicherheitsstrategie fĂŒr Unternehmer unverzichtbar. Erfahren Sie im gratis E-Book, wie Sie aktuelle Bedrohungen abwenden und gesetzliche Anforderungen erfĂŒllen. Gratis E-Book zur IT-Sicherheit herunterladen

Gestohlene Zugangsdaten als Ziel

Die Angreifer haben es vor allem auf Informationsdiebstahl abgesehen. Die Kampagne verteilt SchĂ€dlinge wie Vidar, LegionLoader und CGrabber – spezialisiert auf das AusspĂ€hen von Browser-Zugangsdaten, Finanzinformationen und Systemdaten.

Der OnionDrop-Fund reiht sich in eine besorgniserregende Entwicklung ein. Auch andere aktuelle Kampagnen wie ClickFix nutzen gefÀlschte CAPTCHA-Abfragen und kompromittierte WordPress-Seiten, um Àhnliche Schadsoftware zu verbreiten. Die erste JahreshÀlfte 2025 zeigt einen deutlichen Trend zu immer ausgefeilteren Lader-Malware-Operationen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69562515 |