Phishing-Attacken erreichen 2026 neue Qualität: Kriminelle missbrauchen vertrauenswürdige Cloud-Dienste für Spionage und Erpressung. Die globale Bedrohungslage hat sich im Frühjahr 2026 dramatisch verschärft. Angreifer setzen zunehmend auf die Infrastruktur großer Tech-Konzerne und ausgefeilte Psychologie, um moderne Sicherheitsvorkehrungen zu umgehen. Berichte vom 9. April 2026 zeigen eine breite Palette von Aktivitäten – von staatlicher Spionage im Nahen Osten bis zur Verbreitung von Schadsoftware über legitime Google- und GitHub-Dienste.
Angesichts der dramatisch steigenden Zahl von über 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Schutz durch herkömmliche Passwörter oft nicht mehr ausreichend. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Microsoft effektiv vor Phishing und Datenklau schützen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Vertrauenswürdige Cloud wird zur Malware-Schleuse
Sicherheitsanalysten beobachten einen besorgniserregenden Trend: Angreifer hosten bösartige Inhalte direkt auf seriösen Cloud-Domains, um E-Mail-Gateways und Webfilter zu umgehen. Forscher von ANY.RUN dokumentierten am 9. April eine mehrstufige Phishing-Kampagne, die Google Cloud Storage nutzt, um den Remcos Remote Access Trojan (RAT) zu verbreiten.
Die Operation beginnt mit E-Mails, die Links zu HTML-Seiten auf der Google-Domain googleapis.com enthalten. Diese Seiten imitieren legitime Google Drive-Dateifreigaben. Da die URLs von einem vertrauenswürdigen Google-Dienst stammen, werden sie von traditioneller Sicherheitssoftware häufig übersehen. Interagiert ein Nutzer mit der Seite, startet ein JavaScript-basierter Redirect den Download eines komprimierten Archivs, das schließlich die Remcos-Spionagesoftware auf dem Opferrechner installiert.
Parallel intensivieren mit Nordkorea verbundene Angreifer die Nutzung von GitHub als verdeckte Kommandozentrale. Laut Fortinet vom 9. April zielen diese Akteure mit manipulierten Windows-Verknüpfungsdateien (.lnk) auf südkoreanische Organisationen. Die getarnten Dateien führen beim Öffnen versteckte PowerShell-Befehle aus. Die eingebettete Logik ermöglicht das Decodieren und Ausführen von Schadcode direkt im Arbeitsspeicher – was kaum Spuren auf der Festplatte hinterlässt. Die Angreifer erhalten so dauerhaften Zugriff, während dem Opfer harmloser Inhalt vorgespielt wird.
Hochpersonalisiert: Spionage gegen Journalisten und Aktivisten
Phishing bleibt das wichtigste Werkzeug für staatliche Spionageakteure, wobei aktuelle Kampagnen ein hohes Maß an Personalisierung zeigen. Berichte von Access Now, Lookout und SMEX am 8. und 9. April dokumentieren eine mutmaßlich mit der Bitter APT-Gruppe verbundene Hack-for-Hire-Operation. Sie zielt speziell auf Journalisten, Aktivisten und Regierungskritiker im Nahen Osten und Nordafrika.
Die Angreifer investieren erhebliche Zeit, um über soziale Medien und Messenger Vertrauen aufzubauen. Im Fall des ägyptischen Journalisten Mostafa Al-A’sar begann der Angriff mit einer LinkedIn-Nachricht eines Fake-Profils mit einem Jobangebot. Nach Erhalt der Kontaktdaten wechselten die Täter zu WhatsApp und iMessage, oft unter der Maske des Apple-Supports. Diese beharrlichen Social-Engineering-Bemühungen sollten die Opfer auf gefälschte Verifizierungsseiten locken, wo sie ihre Apple- oder Google-Zugangsdaten samt Zwei-Faktor-Authentifizierungscodes (2FA) preisgaben.
Je nach Gerät des Opfers kam auch Android-Malware wie ProSpy und ToSpy zum Einsatz. Diese ermöglicht das Auslesen persönlichen Dateien, von Standortdaten und die Fernaktivierung des Mikrofons.
Technische Evolution: Immer raffiniertere Angriffswege
Die technische Raffinesse der Malware-Verbreitung nimmt stetig zu. Kaspersky-Forscher beschrieben am 9. April eine ClipBanker-Trojaner-Kampagne, die Nutzer auf der Suche nach spezieller Software wie „Proxifier“ angreift. Die Täter platzierten erfolgreich bösartige GitHub-Repositories in den Top-Ergebnissen von Suchmaschinen. Diese enthalten trojanisierte Versionen legitimer Installationsprogramme.
Da Kriminelle immer häufiger gezielte Psychologie und raffinierte Phishing-Methoden einsetzen, um selbst modernste Sicherheitsbarrieren zu umgehen, wird der aktive Selbstschutz für Unternehmen unerlässlich. Dieser kostenlose Experten-Report enthüllt die aktuellen Manipulationstaktiken der Hacker und bietet eine praxisnahe Checkliste zur Abwehr von Angriffen. Anti-Phishing-Paket für Unternehmen gratis sichern
Die Infektionskette ist komplex: Ein winziger „Donor“-Prozess injiziert eine .NET-Anwendung, die Microsoft Defender-Ausschlüsse manipuliert. Dadurch kann die finale Schadsoftware – eine C++-basierte ClipBanker-Variante – ungestört von Windows-eigenen Sicherheitstools agieren. Der Trojaner war besonders in Indien und Vietnam aktiv, wobei viele Infektionen erst durch Bereinigungstools entdeckt wurden, nachdem die Systeme bereits kompromittiert waren.
Bereits Anfang des Jahres identifizierten Forscher von Forcepoint X-Labs eine Kampagne, bei der das Phorpiex-Botnetz die Global Group Ransomware verbreitete. Diese Erpressungssoftware ist besonders durch ihren „Stumm“-Modus: Sie verschlüsselt Daten offline, ohne mit einem externen Server kommunizieren zu müssen. Diese lokale Ausführungsstrategie umgeht netzwerkbasierte Erkennungssysteme. Die Kampagne nutzt oft Dateien mit doppelter Endung wie „Dokument.doc.lnk“, um Nutzer zur Ausführung unter dem Deckmantel eines normalen Dokuments zu verleiten.
Phishing-as-a-Service: Cybercrime wird zur Dienstleistung
Die Demokratisierung hochwertiger Cybercrime-Tools wird durch die Expansion von Phishing-as-a-Service (PhaaS)-Plattformen befeuert. Anfang April 2026 deckten Forscher von Abnormal die Plattform „Venom“ auf, die weltweit Vorstandsmitglieder (C-Level) ins Visier nimmt.
Venom bietet eine umfassende Management-Oberfläche, mit der Betreiber technisch komplexe Kampagnen einfach durchführen können. Die Plattform spezialisiert sich darauf, Multi-Faktor-Authentifizierung (MFA) durch „Adversary-in-the-Middle“-Techniken zu umgehen. Sie kann Opfer auch dazu bringen, Geräteanmeldungen über Microsofts legitimen Device Code Flow zu bestätigen, was Angreifern direkten Zugriff auf Tokens verschafft. Diese Methode stellt sicher, dass gestohlene Sitzungen auch nach einem Passwort-Reset gültig bleiben – es sei denn, ein Administrator beendet alle aktiven Sitzungen manuell.
Die Fähigkeit der Plattform, randomisierte HTML-Elemente zu generieren und maßgeschneiderte E-Mail-Konversationen für jedes Ziel zu erstellen, macht sie zu einem gefährlichen Werkzeug für die Umgehung signaturbasierter E-Mail-Scanner.
Ausblick: Der Mensch bleibt das schwächste Glied
Da Phishing-Kampagnen immer stärker mit legitimen Cloud-Diensten und Managed-Plattformen verwoben sind, erweisen sich perimeterbasierte Abwehrmaßnahmen als unzureichend. Analysten erwarten in den nächsten 12 bis 24 Monaten einen anhaltenden Fokus auf „interaktives Phishing“, bei dem Angreifer mehr Zeit in die gezielte Manipulation einzelner Opfer investieren statt Massen-Spam zu versenden.
Diese Entwicklung zwingt Unternehmen, über grundlegende Sicherheitsschulungen hinauszugehen und eine Kultur der Verhaltensänderung zu etablieren. Verteidigungsstrategien müssen die frühzeitige Erkennung menschzentrierter Bedrohungen und die Automatisierung von Gegenmaßnahmen priorisieren. Sicherheitsverantwortliche werden aufgefordert, robustes Sitzungsmanagement und phishing-resistente MFA-Lösungen wie Hardware-Keys zu implementieren, um die wachsende Effektivität moderner Angriffe zu kontern.
