Remcos-RAT: Phishing mit verstecktem Code schÀdigt Millionen
22.06.2026 - 15:37:45 | boerse-global.de
Sicherheitsforscher haben am heutigen Montag eine hochentwickelte Phishing-Kampagne aufgedeckt, die mit versteckten Bilddaten und speicherresidenter Schadsoftware arbeitet. Der Remcos Remote Access Trojan (RAT) gelangt ĂŒber gefĂ€lschte Finanzdokumente auf die Systeme der Opfer â und bleibt dort oft unbemerkt.
Rekord-SchĂ€den durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklĂ€ren im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Tricks und Hacker-Angriffe schĂŒtzen kann. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Finanzielle Köder als Einfallstor
Die Angreifer setzen auf perfide TĂ€uschung: Sie versenden E-Mails mit AnhĂ€ngen, die wie offizielle Steuerbescheide oder Zahlungsrechnungen aussehen. Dateinamen wie âGST Debit Note Apr_26.com" oder gefĂ€lschte Steuerbenachrichtigungen sollen die EmpfĂ€nger zum Ăffnen verleiten. Besonders im Visier: Nutzer in Indien, wo das lokale Steuersystem (Goods and Services Tax) als Vorlage dient.
Der Infektionsweg beginnt meist mit einem Archiv-Anhang oder einer ausfĂŒhrbaren Datei. Diese tarnt sich als harmloses Dokument â entpuppt sich aber als Loader fĂŒr die eigentliche Schadsoftware.
Versteckt im Pixel: Die Steganografie-Methode
Das HerzstĂŒck der Angriffskette ist ein raffinierter Trick: Die Angreifer verstecken den Schadcode in einer .NET-Bitmap-Datei. Die bösartigen Daten sind buchstĂ€blich in die Bildpunkte eingebettet â fĂŒr herkömmliche Virenscanner auf Basis von Signaturen unsichtbar.
Der Loader extrahiert die Schadsoftware und fĂŒhrt sie direkt im Arbeitsspeicher aus. Diese âfileless"-Technik hinterlĂ€sst kaum Spuren auf der Festplatte und umgeht klassische Antiviren-Lösungen. ZusĂ€tzlich laden die Angreifer spezifische DLLs wie Optimax.dll oder System Optimizer Ultimate.dll in den Speicher.
Technische Raffinesse und Payload-Vielfalt
Einmal aktiv, zeigt der Remcos-RAT sein ganzes Können:
- Process Hollowing: Der Trojaner injiziert seinen Code in legitime Systemprozesse, um nicht aufzufallen
- UAC-Bypass: Er umgeht die Windows-Benutzerkontensteuerung, um höhere Privilegien zu erlangen
- Sandbox-Erkennung: Die Malware prĂŒft, ob sie in einer Analyseumgebung lĂ€uft, und verweigert dann die AusfĂŒhrung
Doch die Kampagne beschrĂ€nkt sich nicht auf Remcos. Die Infrastruktur fungiert als âLoader-as-a-Service" â ein Modell, das die Verteilung verschiedenster Schadsoftware erlaubt. Neben Remcos wurden auch Informationsdiebe wie Agent Tesla, MassLogger, Formbook, RedLine und Phantom Stealer ĂŒber denselben Kanal ausgeliefert.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch Trojaner und Informationsdiebe â diese Checkliste hilft Ihnen, es zu verhindern. Erfahrene IT-Experten erklĂ€ren in diesem kostenlosen E-Book, wie Sie SicherheitslĂŒcken proaktiv schlieĂen, bevor es zu spĂ€t ist. Gratis-E-Book: Cyber Security Bedrohungen abwenden
Gezielte Angriffe und Command-and-Control
Die geografische Fokussierung auf Indien ist kein Zufall. Durch die Nutzung lokaler Steuerthemen erhöhen die Angreifer die Erfolgswahrscheinlichkeit drastisch. Die Forscher identifizierten eine spezifische Command-and-Control-IP-Adresse (62.102.148.212), die fĂŒr die Steuerung der Botnetze verantwortlich ist.
Das Hauptziel: Die Extraktion von Browser-Zugangsdaten und die Ăberwachung der OpferaktivitĂ€ten fĂŒr weitere finanzielle Ausbeutung. Sicherheitsunternehmen haben inzwischen Indikatoren fĂŒr Kompromittierung (IOCs) veröffentlicht, um Unternehmen und Nutzer zu warnen.
