Operation SilentCanvas: Schadcode tarnt sich als JPEG-Datei

Sicherheitsforscher haben eine neue Cyberangriffswelle entdeckt, die mit getarnten JPEG-Dateien Schadsoftware auf Windows-Systeme schleust.

Die als „Operation SilentCanvas" bezeichnete Kampagne zielt auf Unternehmensnetzwerke ab. Die Angreifer nutzen eine Datei namens „sysupdate.jpeg", die auf den ersten Blick wie ein harmloses Bild aussieht. In Wahrheit enthält sie jedoch keinen einzigen Pixel Bilddaten, sondern einen voll funktionsfähigen PowerShell-Code.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheitslücken jetzt proaktiv schließen

So funktioniert die Angriffskette

Die Infektion beginnt mit einer klassischen Social-Engineering-Attacke. Die Opfer erhalten Phishing-Mails, gefälschte Cloud-Links oder manipulierte Update-Hinweise. Sie werden dazu verleitet, die vermeintliche JPEG-Datei herunterzuladen und auszuführen. Da die Datei die Endung „.jpeg" trägt, umgeht sie oft die Sicherheitsfilter, die normalerweise ausführbare Dateien blockieren, aber Medienformate durchlassen.

Die Datei entpuppt sich als stark verschleiertes PowerShell-Skript. Es erstellt Ordner auf dem System und baut eine Verbindung zu einem externen Server auf. Besonders raffiniert: Der Schadcode schreibt keine gefährlichen Befehle direkt auf die Festplatte, sondern setzt sie erst zur Laufzeit zusammen. So entgeht er der Erkennung durch signaturbasierte Virenscanner.

Ein entscheidender Schritt ist der Missbrauch von „csc.exe", dem legitimen Microsoft .NET-Compiler. Das Malware nutzt dieses Werkzeug, um direkt auf dem Rechner des Opfers einen eigenen Programmstarter zu kompilieren. Diese „Living-off-the-Land"-Technik macht den Angriff besonders schwer erkennbar.

Trojanisierte Fernwartung als Einfallstor

Das eigentliche Ziel der Angreifer ist die Installation einer manipulierten Version von ConnectWise ScreenConnect. Dabei handelt es sich um eine weit verbreitete Fernwartungssoftware, die IT-Abteilungen weltweit einsetzen. Die Angreifer ersetzen lediglich eine zentrale Programmbibliothek durch eine manipulierte Version. Die übrigen, von ConnectWise signierten Dateien bleiben unverändert – das macht den Angriff besonders tückisch.

Um auch nach einem Neustart präsent zu bleiben, installiert das Malware einen Windows-Dienst mit dem Namen „OneDriveServers". Die Tarnung als Microsoft-Cloud-Dienst soll Systemadministratoren in die Irre führen.

Die Schadsoftware kann nicht nur auf den Rechner zugreifen, sondern auch Passwörter abfangen – sogar direkt am Windows-Anmeldebildschirm, bevor der Benutzer sich überhaupt angemeldet hat. Zudem legt sie versteckte Administratorkonten an, die den Angreifern dauerhaften Zugriff sichern.

Hightech-Tarnung: Wie die Angreifer Windows austricksen

Operation SilentCanvas kombiniert mehrere Umgehungsmethoden. Besonders perfide ist die UAC-Umgehung (User Account Control). Die Malware manipuliert einen Registry-Eintrag und startet dann ein vertrauenswürdiges Windows-Programm, das automatisch Administratorrechte besitzt. So führen die Angreifer ihren Schadcode aus, ohne dass der Benutzer eine Sicherheitsabfrage sieht. Nach der Ausführung löscht das Malware die manipulierten Registry-Schlüssel – die Beweise verschwinden.

Eine zweite Datei namens „access.jpeg" läuft komplett im Arbeitsspeicher. Diese dateilose Methode umgeht die Windows-Sicherheitsschnittstelle AMSI, die Skripte vor der Ausführung prüft. Da der Schadcode keine Spuren auf der Festplatte hinterlässt, bleibt er für herkömmliche Scanner unsichtbar.

CEO-Fraud und psychologische Tricks — warum selbst erfahrene Mitarbeiter auf gefälschte E-Mails hereinfallen, enthüllt dieser kostenlose Report über aktuelle Hacker-Methoden. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Was Unternehmen jetzt tun müssen

Die Kampagne ist Teil eines wachsenden Trends: Immer mehr Angreifer tarnen Schadcode als Bilddateien. Während Unternehmen traditionell vor allem ausführbare Dateien blockieren, passieren Medienformate oft ungeprüft die Sicherheitsschleusen.

Sicherheitsexperten empfehlen:
- Strikte Überwachung von Windows-Programmen wie csc.exe und ComputerDefaults.exe
- Blockieren von PowerShell-Ausführungen aus nicht vertrauenswürdiges Quellen
- Härten der Benutzerkontensteuerung (UAC) und der Registry-Richtlinien
- Aufmerksames Prüfen ungewöhnlicher Aktivitäten bei Fernwartungs-Tools

Ausblick: Die Gefahr wächst

Die Angreifer setzen zunehmend auf Schleichwege und Persistenz statt auf sofortige Zerstörung wie bei Ransomware. Die Manipulation legitimer Software wie ScreenConnect zeigt, dass selbst scheinbar harmlose Dateitypen wie JPEG heute als Einfallstor für professionelle Hackerangriffe dienen können.

Für Unternehmen bedeutet das: Proaktive Verhaltensanalyse und Zero-Trust-Strategien werden zur Pflicht. Wer weiterhin nur auf klassische Virenscanner setzt, läuft Gefahr, die nächste Angriffswelle zu übersehen.

de | wissenschaft | 69314835 |