Sie sind hier: Startseite » IT Security » Security-Studien / Analysen / Umfragen

HP warnt Urlauber vor Würmern in ihren Cookies

HP Wolf Security-Studie deckt gefälschte Reisebuchungs-Websites mit bösartigen Cookie-Popups auf, die es auf Urlauber abgesehen haben, bevor die Sommerferien beginnen.
Der neueste "HP Threat Insights Report" zeigt, dass gefälschte Reise-Websites mit bösartigen Cookie-Zustimmungsbannern verwendet werden, um die Kontrolle über die Geräte von Urlaubsbuchern zu übernehmen - Bericht zeigt, dass Bedrohungsakteure Windows-Bibliotheksdateien verwenden, um Malware als PDF-Dateien in vertraut wirkenden lokalen Ordnern wie "Dokumente" zu tarnen

HP (Hewlett-Packard) hat ihren neuesten Threat Insights Report veröffentlicht, aus dem hervorgeht, dass Angreifer weiterhin die "Klickmüdigkeit" von Nutzern ausnutzen – insbesondere in schnelllebigen, zeitkritischen Browsing-Momenten wie der Buchung von Reisen. Anhand von Analysen realer Angriffe unterstützt der Bericht Unternehmen, mit den neuesten Techniken von Bedrohungsakteuren in der sich schnell verändernden Cyberkriminalitätslandschaft Schritt zu halten. Angreifer setzen diese Techniken ein, um sich der Entdeckung zu entziehen und PCs zu übernehmen (Diese Daten wurden von Januar bis März 2025 von zustimmenden HP Wolf Security1-Kunden und einer unabhängigen Untersuchung des HP Threat Research Teams gesammelt).

Der Report beschreibt eine Untersuchung verdächtiger Domains – im Zusammenhang mit einer früheren CAPTCHA-Kampagne –, bei der gefälschte Reisebuchungs-Websites aufgedeckt wurden. Diese gefälschten Websites imitieren in ihrem Branding booking.com. Der Inhalt wird jedoch unscharf dargestellt. Dazu zeigt die Site ein trügerisches Cookie-Banner, das die Benutzer dazu verleiten soll, auf "Akzeptieren" zu klicken, was den Download einer bösartigen JavaScript-Datei auslöst.

Beim Öffnen der Datei wird XWorm installiert, ein Fernzugriffstrojaner (RAT), der den Angreifern Kontrolle über das Gerät gibt, einschließlich des Zugriffs auf Dateien, Webcams und Mikrofone sowie der Möglichkeit, weitere Malware zu installieren oder Sicherheitstools zu deaktivieren.

Die Kampagne wurde erstmals im 1. Quartal 2025 entdeckt und fiel damit in die Hauptbuchungszeit für Sommerurlaube – eine Zeit, in der die Nutzer besonders anfällig für reiserelevante Köder sind. Die Kampagne ist jedoch nach wie vor aktiv. Es werden immer wieder neue Domains registriert und für die gleichen buchungsbezogenen Köder verwendet.

Patrick Schläpfer, Principal Threat Researcher im HP Security Lab, kommentiert: "Seit der Einführung von Datenschutzbestimmungen wie der DSGVO sind Cookie-Aufforderungen so normal geworden, dass die meisten Nutzer sich angewöhnt haben, erst zu klicken und dann zu denken. Indem sie das Erscheinungsbild einer Buchungswebsite zu einem Zeitpunkt imitieren, an dem die Urlauber sich beeilen, ihre Reisepläne zu schmieden, benötigen Angreifer keine fortschrittlichen Techniken – nur eine gut getimte Aufforderung und den Instinkt des Benutzers, zu klicken."

Auf der Grundlage von Daten von Millionen von Endgeräten, auf denen "HP Wolf Security" läuft, entdeckten HP-Bedrohungsforscher außerdem:

>> Impostor-Dateien: Angreifer nutzten Windows Library-Dateien, um Malware in vertrauten lokalen Ordnern wie "Dokumente" oder "Downloads" zu verstecken. Den Opfern wurde im Windows Explorer ein Popup-Fenster angezeigt, das einen entfernten WebDAV-Ordner mit einer PDF-ähnlichen Verknüpfung lud, die beim Anklicken Malware startete.

>> Die PowerPoint-Falle imitiert das Öffnen von Ordnern: Eine bösartige PowerPoint-Datei, die im Vollbildmodus geöffnet wird und den Start eines Standardordners imitiert. Der Klick der Benutzer, um die Ansicht zu verlassen, löst ein Archiv-Download aus, der ein VBScript und eine ausführbare Datei enthält. Diese ruft eine auf GitHub gehostete Nutzlast ab, um das Gerät zu infizieren.

>> MSI-Installer auf dem Vormarsch: MSI-Installer gehören mittlerweile zu den meistgenutzten Dateitypen für die Verbreitung von Malware, was vor allem auf die ChromeLoader-Kampagnen zurückzuführen ist. Diese Installationsprogramme werden häufig über gefälschte Software-Websites und Malvertising verbreitet und verwenden gültige, kürzlich ausgestellte Code-Signatur-Zertifikate, um vertrauenswürdig zu erscheinen und Windows-Sicherheitswarnungen zu umgehen.

Durch die Isolierung von Bedrohungen, die sich den Erkennungstools auf PCs entzogen haben, aber dennoch eine sichere Entschärfung von Malware in sicheren Containern ermöglichen, verfügt HP Wolf Security1 über einen spezifischen Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben Kunden von HP Wolf Security1 auf über 50 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass ein Datenleck gemeldet wurde.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc. kommentiert: "Benutzer sind zunehmend desensibilisiert gegenüber Pop-ups und Genehmigungsanfragen, was es Angreifern erleichtert, sich einzuschleichen. Oft sind es keine ausgefeilten Techniken, sondern Routinen, die Benutzer überraschen. Je anfälliger diese Interaktionen sind, desto größer ist das Risiko. Die Isolierung risikoreicher Momente, wie das Klicken auf nicht vertrauenswürdige Inhalte, hilft Unternehmen, ihre Angriffsfläche zu reduzieren, ohne jeden Angriff vorhersehen zu müssen." (Hewlett-Packard: ra)

eingetragen: 26.06.25

Hewlett-Packard: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Security-Studien

Gefahren für eigenes Unternehmen unterschätzt
Cohesity, Anbieterin von Lösungen für KI-gestützte Datensicherheit, hat in einer Umfrage unter 1.000 Mitarbeitenden in Deutschland das Wissen zum Thema IT-Sicherheit untersucht. Dabei wurde einige gefährliche Mythen aufgedeckt, die für Unternehmen schwerwiegende Folgen haben können.
Ransomware trifft Kernbranchen der Industrie
Die Ransomware-Lage in Deutschland und Europa bleibt angespannt. Laut der Dragos Industrial Ransomware Analysis Q2 2025 wurden im zweiten Quartal dieses Jahres weltweit 657 Angriffe auf Industrieunternehmen registriert. Damit liegt die Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa zeigte sich jedoch das Gegenteil: Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg. Besonders stark betroffen sind Deutschland, Großbritannien und Italien. Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden.
Fortschrittliche DDoS-as-a-Service-Fähigkeiten
In der ersten Hälfte des Jahres 2025 überflutete eine neue Welle geopolitisch motivierter Cyberaktivitäten Europa, den Nahen Osten und Afrika (EMEA). Laut dem neuesten DDoS Threat Intelligence Report unternahmen Hacktivisten weltweit mehr als 8 Millionen Distributed-Denial-of-Service-Angriffe im ersten Halbjahr 2025, wobei die Mehrheit dieser Angriffe sich gegen die EMEA-Region richtete.

Zwischen Kostendruck und fehlenden Standards Eine russische E-Mail-Adresse spielt eine Rolle

Fachbeiträge: Hintergrund

Künstliche Intelligenz in der Cloud
Die Giganten der Tech-Branche planen in diesem Jahr mehr als 300 Milliarden US-Dollar auszugeben, um im KI-Wettrüsten wettbewerbsfähig zu bleiben. Allein Amazon hat über 100 Milliarden US-Dollar angekündigt, während Microsoft, Alphabet und Meta jeweils weitere Dutzende Milliarden für den Bau riesiger Rechenzentren, den Ausbau von GPU-Clustern und die Sicherung ihrer Dominanz im Bereich der Cloud-basierten KI ausgeben wollen. Investitionen in dieser Größenordnung sorgen für Schlagzeilen und viele Unternehmen, die selbst dabei sind, ihre KI-Strategie zu planen, sehen sich gezwungen, ihrerseits hohe Budgets einzuplanen. Für die meisten Unternehmen ist es jedoch weder praktikabel noch notwendig, den Plänen der Hyperscaler zu folgen. IT-Führungskräfte fragen sich deshalb zurecht, was für den Einsatz der KI im Unternehmen tatsächlich benötigt wird.
Tape hat ausgedient, Public Cloud ist verzichtbar
Zwei in der Datensicherung eingesetzte Technologien stehen derzeit bei vielen Unternehmen und Behörden auf dem Prüfstand. Bei Tape sind mit der Einführung von LTO-10 die Verbindungen zu Vorgängergenerationen komplett abgeschnitten worden, was eine vollständige Migration aller Systeme und Daten notwendig macht. Die Public Cloud entpuppt sich in vielen Fällen als wesentlich teurer als angenommen und zudem bestimmen rechtlichen Bedenken hinsichtlich Datenschutz und Datenhoheit die Diskussion.

Fachbeiträge: Grundlagen

Beispiel für die 3-2-1-Backup-Regel
Die 3-2-1-Backup-Regel ist ein einfacher, aber wirkungsvoller Ansatz zur Datensicherung. Diese Strategie gewährleistet, dass Daten unter nahezu allen Umständen sicher und wiederherstellbar sind. Sie minimiert Risiken und maximiert die Ausfallsicherheit, indem mehrere Kopien der Daten an verschiedenen Orten aufbewahrt werden. Interessant wird das Thema jedoch, wenn Cloud-Ressourcen bzw. Cloud-Tools mieteinbezogen werden.
Cloud-Repatriierung richtig planen
Lange galt die Cloud als Endpunkt der IT-Modernisierung. Doch mit dem Aufkommen rechenintensiver KI-Workloads, neuen regulatorischen Pflichten und intransparenten Kostenmodellen stellt sich für viele Unternehmen die Frage neu: Welche Workloads gehören wirklich in die Cloud und welche besser zurück ins eigene Rechenzentrum? Dieser Leitfaden gibt Orientierung für die Rückverlagerung geschäftskritischer Anwendungen.

IT Security

Cybersicherheit als aktive Maßnahme
Es ist fast schon beängstigend zu lesen, dass sich 59 Prozent der deutschen Wirtschaft durch Cyberangriffe in ihren Grundfesten bedroht fühlen, wie in der in diesem Monat erschienenen Bitkom-Studie zu lesen ist. Davon hält sich nur die Hälfte für angemessen vorbereitet.
Paket-Lösung aus Hardware und Software
NCP und Rohde & Schwarz Cybersecurity gehen technologische Partnerschaft mit HP.Wie sich dies in der Praxis auswirkt, wird mit der "HP Sure Station" deutlich - einer Lösung, die ein ideales Zusammenspiel von Hardware und Software gewährleistet.

IT Security - Angriffe & Lecks

Verschleierungsmethoden verbessert
Raspberry Robin, auch bekannt als Roshtyak, ist ein fortschrittlicher Malware-Downloader, der seit 2021 aktiv Systeme angreift und sich hauptsächlich über infizierte USB-Geräte verbreitet. Die Malware ist weiterhin aktiv und wird kontinuierlich weiterentwickelt, um der Entdeckung zu entgehen. Das Zscalers ThreatLabz-Team hat die Updates und Verschleierungstechniken der Malware zusammengestellt.
Trügerisches Vertrauen in populäre Pakete
Open Source ist das Rückgrat der digitalen Infrastruktur, doch die jüngste Shai-Hulud-Angriff offenbart, wie fragil ihre Lieferkette tatsächlich ist. Das JFrog Security Research Team hat 164 kompromittierte npm-Pakete in 338 Versionen identifiziert, die darauf ausgelegt waren, Zugangsdaten von Entwickler-Rechnern und CI/CD-Umgebungen abzugreifen. Betroffen waren Tokens für AWS, GCP, GitHub und npm, die in von Angreifern kontrollierte GitHub-Repositories exfiltriert wurden.

IT Security - Fachbeiträge

DORA: Der Weckruf für den Finanzsektor
Es gibt nur wenige Branchen, die so stark reguliert sind wie der Finanzsektor. In regelmäßigen Abständen erscheinen neue Gesetzesrahmen und das aus gutem Grund: Finanzdienstleister gehören zum Rückgrat nationaler Infrastruktur und sind deshalb ein Hauptziel von Cyber-Angriffen und Betrugsmaschen. Jede neue Regulierung muss daher wasserdicht sein.
Infiltrationsmethoden von Hackern
"Sie hacken nicht mehr, sie loggen sich ein" ist ein oft zitierter Satz zu zeitgenössischen Infiltrationsmethoden von Hackern - und das mit Recht: Im Juni verkaufte ein Mitarbeiter eines Software-Dienstleisters für Banken seine Logindaten für 920 Dollar an Cyberkriminelle. Die Hacker wussten genau, wen sie bestechen mussten, denn mit seinen Zugangsdaten und der Verbindungen der Firma zu diversen Finanzhäusern waren sie in der Lage, sechs Banken auf einmal zu infiltrieren und dabei 140 Millionen Dollar zu entwenden. Ein lukratives Tauschgeschäft für die Drahtzieher, das keinen Bankraub mit Skimasken und Schusswaffen erforderte. Für den Raubzug selbst mussten sie kaum vor die Tür gehen; lediglich einmal, um den Mitarbeiter vor einer Bar abzufangen und ihn für den Coup einzuspannen.

IT Security - Tipps / Hintergrund / Wissen

Sicherheitsmaßnahmen sinnvoll priorisieren
Im Jahr 2024 wurden weltweit 40.291 neue IT-Schwachstellen veröffentlicht - ein Anstieg um 38,6 Prozent gegenüber dem Vorjahr. Das zeigt der aktuelle aDvens Threat Report 2025. Gleichzeitig nutzten Angreifer nur 244 dieser Schwachstellen aktiv aus. Die Diskrepanz zwischen der schieren Masse an gemeldeten Lücken und den real ausgenutzten Angriffsvektoren verdeutlicht die zentrale Herausforderung für Unternehmen: Wie lassen sich Sicherheitsmaßnahmen sinnvoll priorisieren, ohne Ressourcen zu verschwenden?
Ransomware-Angriff auf Flughafen-Software
Jüngste Cyberangriffe auf europäische Flughäfen haben deutlich gemacht, wie verletzlich die digitale Infrastruktur des Luftverkehrs ist. Nach einem von der EU-Cybersicherheitsagentur ENISA bestätigten Ransomware-Angriff auf Flughafen-Software kam es zu massiven Störungen für Reisende. Am Berliner BER mussten Fluggäste stundenlang warten, Flüge verspäteten sich um mehr als eine Stunde, weil die Systeme nicht wiederhergestellt waren. In Brüssel fiel sogar die Hälfte aller Abflüge aus. Diese Vorfälle zeigen, wie schnell digitale Ausfälle den gesamten Betrieb lahmlegen können - und wie wichtig widerstandsfähige Sicherheitsstrategien für Flughäfen sind.