Cyberkriminelle nutzen den vertrauenswürdigen Google-Dienst, um eine hochgefährliche Fernsteuerungssoftware zu verbreiten. Die Angriffe zielen auf deutsche Unternehmen.
Die zunehmende Manipulation legitimer Cloud-Infrastrukturen hat diese Woche einen neuen Höhepunkt erreicht. Sicherheitsforscher haben eine raffinierte Phishing-Kampagne entdeckt, die Google Cloud Storage nutzt, um den Remcos Remote Access Trojan (RAT) zu verbreiten. Indem sie ihre schädliche Fracht auf seriösen Domains hosten, umgehen die Angreifer traditionelle Sicherheitsbarrieren und missbrauchen das inhärente Vertrauen in Unternehmens-Clouds.
Rekord-Schäden durch Phishing zeigen, dass herkömmliche Filter oft nicht mehr ausreichen, um moderne Angriffe zu stoppen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulation und Datenklau schützen kann. Kostenloses Anti-Phishing-Paket für Unternehmen sichern
So funktioniert der perfide Angriff
Laut einer Analyse des Sicherheitsunternehmens ANY.RUN vom heutigen Freitag nutzt die Kampagne die Google-Infrastruktur, um sich als Benachrichtigung über geteilte Dokumente zu tarnen. Die Phishing-Links tragen dadurch gültige Sicherheitszertifikate und stammen von einer vertrauenswürdigen Domain. E-Mail-Filter, die normalerweise verdächtige URLs blockieren, schlagen hier oft nicht an.
Der Angriff beginnt mit gezielten Phishing-Mails, die den Empfänger auffordern, ein Dokument einzusehen. Der enthaltene Link führt auf eine Seite unter storage.googleapis.com – einer legitimen Google-Domain. Weil die Infrastruktur von Google stammt, bestehen die Mails häufig Standard-Authentifizierungsprüfungen wie DMARC, SPF und DKIM.
Klickt das Opfer, landet es auf einer täuschend echten Google Drive-Anmeldeseite. Diese gefälschte Seite dient einem doppelten Zweck: Sie stiehlt die E-Mail-Adresse, das Passwort und den Einmal-Code des Nutzers und startet gleichzeitig den Download einer Schadsoftware.
Remcos RAT: Die totale Kontrolle für Angreifer
Im zweiten Schritt wird eine JavaScript-Datei ausgeführt, die als Einstiegspunkt für die finale Schadsoftware dient. Das Ziel ist die Installation von Remcos RAT. Diese kommerziell erhältliche, aber äußerst mächtige Schadsoftware verschafft Angreifern umfassende Kontrolle über kompromittierte Windows-Systeme.
Die Malware sichert sich Persistenz über die Windows-Registrierung und überlebt so Neustarts. Ist sie einmal aktiv, ermöglicht sie eine komplette Überwachung: Sie protokolliert Tastatureingaben, stiehlt Daten aus Browsern und Passwort-Managern, überwacht die Zwischenablage und kann sogar Mikrofon und Webcam fernsteuern. Angreifer können zudem Bildschirmfotos machen und Dateien zwischen dem infizierten Rechner und ihrem Server transferieren.
Die Täter nutzten mehrere spezifische Google-Cloud-Subdomains für ihre schädlichen Inhalte. Durch die Streuung über verschiedene Subdomains bleibt die Kampagne länger aktiv, selbst wenn einzelne URLs gemeldet und gesperrt werden.
„Living-off-the-Cloud“: Der neue Trend der Cyberkriminellen
Der Missbrauch von Google Cloud Storage ist Teil eines größeren Trends: Cyberkriminelle „leben von der Cloud“. Sie nutzen dieselbe Infrastruktur, auf die sich Unternehmen täglich verlassen, und können ihren Datenverkehr so mit legitimen Geschäftsaktivitäten vermischen.
IT-Sicherheit zu stärken muss nicht immer mit teuren Investitionen verbunden sein, selbst wenn die Bedrohungslage durch neue Cloud-Angriffe zunimmt. Dieses Gratis-E-Book enthüllt, wie clevere Unternehmer Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. Gratis E-Book zum Schutz vor Cyberangriffen herunterladen
Daten aus dem ANY.RUN Malware Trends Report 2025 zeigen, dass Phishing-Kampagnen über vertrauenswürdige Cloud-Hosting-Dienste zu einem dominierenden Angriffsvektor geworden sind. Die Nutzung von Remote-Access-Trojanern stieg demnach um 28 Prozent im Jahresvergleich, Backdoor-Installationen sogar um 68 Prozent. Diese Zahlen belegen eine strategische Wende: weg von offensichtlich bösartigen Domains, hin zum Missbrauch hochreputierlicher Dienste großer Tech-Firmen.
Der Google Cloud Cybersecurity Forecast 2026 bestätigt diesen Trend. Demnach waren Identitätsdiebstähle für 83 Prozent aller Kompromittierungen in Cloud- und SaaS-Umgebungen in der zweiten Hälfte 2025 verantwortlich. Da sich automatisierte technische Kontrollen verbessert haben, setzen Angreifer nun vermehrt auf interaktives Social Engineering und den Missbrauch vertrauenswürdiger Drittanbieter.
Die große Herausforderung für die IT-Sicherheit
Die größte Herausforderung für Verteidiger liegt darin, dass diese Angriffe nicht auf Software-Schwachstellen basieren. Stattdessen nutzen sie das architektonische Vertrauen im modernen Web aus. Zeigt ein Link auf eine Google-Domain, stufen viele Sicherheitsgateways das Ziel automatisch als sicher ein.
Diese „geerbte Vertrauenswürdigkeit“ ermöglicht es, dass bösartige Nachrichten von hochreputierten Adressen stammen. Organisationen stehen vor dem Dilemma, die Angriffe zu blockieren, ohne dabei auch legitime Geschäftskommunikation zu unterbinden. Sicherheitsexperten warnen: Das Vertrauen auf Domain-Reputation oder statische Datei-Prüfungen reicht in dieser neuen Ära nicht mehr aus.
Was bedeutet das für Unternehmen?
Die aktuelle Kampagne zielt auf Branchen wie Fertigung, Finanzen und Technologie. Sicherheitsexperten drängen daher auf einen Strategiewechsel in der Verteidigung. Organisationen sollten über reputationsbasierte Filter hinausgehen und Verhaltensanalysesysteme implementieren, die die Aktivitäten nach dem Klick überwachen.
Zukünftige Sicherheitsmaßnahmen müssen sich auf die gesamte Angriffskette konzentrieren – nicht nur auf die initiale Domain. Dazu gehören die Nachverfolgung von Weiterleitungen, die Analyse des Skript-Verhaltens im Browser und der Einsatz von KI, um Anomalien in der Nutzerinteraktion mit Cloud-Inhalten zu erkennen.
Google hat mitgeteilt, gegen die spezifischen Phishing-Versuche dieser Woche vorgegangen zu sein und den Missbrauch seiner Cloud-Speicher- und Automatisierungsfunktionen zu blockieren. Das Unternehmen betont jedoch die Notwendigkeit fortgesetzter Wachsamkeit, da Bedrohungsakteure häufig versuchen, vertrauenswürdige Marken zu spoofen. Derzeit liegt die Hauptlast der Erkennung noch bei den Sicherheitsteams der Unternehmen. Sie müssen die subtilen Zeichen eines „Living-off-the-Cloud“-Angriffs erkennen, bevor die finale Schadsoftware Fuß fasst.
