Veil#Drop und Ousaban: Zwei Malware-Kampagnen gefährden Europa
02.07.2026 - 11:19:37 | boerse-global.de
Cyberkriminelle nutzen gefälschte PDF-Dokumente, um Schadsoftware auf Rechner zu schleusen. Zwei Kampagnen gefährden derzeit insbesondere europäische Nutzer.
Sicherheitsforscher haben im Juli 2026 mehrere ausgeklügelte Malware-Kampagnen aufgedeckt, die auf Bankdaten und persönliche Informationen abzielen. Die Angreifer setzen dabei auf täuschend echte PDF-Dokumente als Köder – und nutzen ausgefeilte Techniken, um klassische Schutzprogramme zu umgehen.
Veil#Drop: Schadcode aus dem Blogspot
Die Sicherheitsfirma Securonix warnte Anfang Juli vor einer neuen Bedrohung namens Veil#Drop. Die Angreifer verschicken gefälschte E-Mails oder locken Nutzer auf manipulierte Webseiten. Dort laden die Opfer vermeintliche PDF-Dateien herunter – tatsächlich handelt es sich um JavaScript-Code.
Die Infektion läuft im Arbeitsspeicher ab, ohne Spuren auf der Festplatte zu hinterlassen. Das macht sie für herkömmliche Virenscanner nahezu unsichtbar. Der Schädling PureLog Stealer wird direkt von Google Blogspot-Seiten nachgeladen. Er stiehlt Browser-Passwörter, Kryptogeld-Wallets und vor allem Session-Cookies – eine besonders gefährliche Methode, um Zwei-Faktor-Authentifizierungen zu umgehen.
Kann der Schadcode nicht direkt im Speicher ausgeführt werden, greifen die Hacker auf vertrauenswürdige Windows-Programme wie RegSvcs oder MSBuild zurück – eine Technik, die als „Living-off-the-Land" bekannt ist.
Ousaban-Trojaner zielt auf spanische und portugiesische Banken
Eine zweite, ebenso gefährliche Kampagne richtet sich gezielt gegen Nutzer in Spanien und Portugal. Der Ousaban-Trojaner (auch Javali genannt) tarnt sich als beschädigte PDF-Datei. Ein Button mit der Aufschrift „Atualizar" (Aktualisieren) führt die Opfer auf eine betrügerische Webseite.
Dort prüfen die Angreifer akribisch, ob das Opfer echt ist: IP-Adresse, Systemsprache und Zeitzone werden analysiert. Nutzer aus anderen Regionen oder virtuelle Maschinen werden sofort abgewiesen. Erst nach erfolgreicher Prüfung wird die eigentliche Schadsoftware ausgeliefert – versteckt in einem harmlos wirkenden Bild.
Wer die unsichtbaren Malware-Kampagnen VeilDrop und Ousaban frühzeitig erkennen will, findet in diesem Report die wichtigsten Erkennungs- und Abwehrmaßnahmen – von PDF-Köder-Checkliste bis Registry-Scan. Jetzt kostenlosen Schutz-Report anfordern
Der Trojaner protokolliert Tastatureingaben, macht Screenshots und ĂĽberwacht die Zwischenablage. Im Visier stehen ĂĽber zwei Dutzend Finanzinstitute, darunter Santander, BBVA und CaixaBank.
Immer raffiniertere Tarnung
Beide Kampagnen zeigen, wie professionell Cyberkriminelle heute vorgehen. Der Ousaban-Trojaner sichert sich dauerhaft Zugang zum System über einen Registry-Schlüssel namens „Financeiro". Seine Kommando-Server wechseln täglich – berechnet aus dem aktuellen Datum, das von Google-Diensten abgerufen wird.
Die Sicherheitsforscher beobachten zudem einen wachsenden Trend: Immer häufiger werden legitime Programme missbraucht. Zwischen August 2025 und März 2026 richteten Hacker etwa gefälschte Webseiten ein, die das beliebte Aufnahmeprogramm OBS Studio imitierten. Über diese Seiten verteilten sie den Schädling AsyncRAT.
Neue Gefahr: Unsichtbare Befehle in Bildern
Einen Ausblick auf künftige Bedrohungen liefert die Forschung von DeepKeep. Das Unternehmen präsentierte Anfang Juli eine Technik namens InkJect. Dabei werden unsichtbare Anweisungen in Bilder eingebettet – etwa weißer Text auf weißem Hintergrund. Moderne KI-Modelle, die Bilder analysieren, können diese versteckten Befehle lesen und ausführen. Herkömmliche Schutzmechanismen erkennen sie nicht.
Session-Cookie-Diebstahl umgeht selbst 2FA – ein Risiko, das viele KMU unterschätzen. Dieser Report zeigt, wie Sie PureLog Stealer erkennen und Ihre Authentifizierung absichern, bevor Angreifer Ihre Accounts übernehmen. 2FA-Sicherheitsleitfaden jetzt sichern
SchutzmaĂźnahmen fĂĽr Unternehmen und Privatnutzer
Experten raten zu erhöhter Wachsamkeit bei unerwarteten PDF-Dokumenten in E-Mails. Auffällige PowerShell-Aktivitäten, die Kontakt zu öffentlichen Blog-Plattformen aufnehmen, sollten sofort geprüft werden. IT-Abteilungen können zudem gezielt nach dem Registry-Schlüssel „Financeiro" und bekannten Dateipfaden des Ousaban-Trojaners suchen.
