Gleich mehrere neuartige Angriffswellen wurden in dieser Woche bekannt.
Gefälschte Schriftarten als Einfallstor
Sicherheitsforscher von FortiGuard Labs haben eine globale Phishing-Kampagne aufgedeckt, die seit Ende März 2026 aktiv ist. Die Angreifer tarnen eine Lua-basierte Schadsoftware als TrueType-Schriftart (TTF) – eine bislang kaum bekannte Methode.
Die getarnte Datei schleust Schädlinge wie Agent Tesla, Remcos, XWorm und Best Private LOGGER ein. Die Opfer erhalten gefälschte Geschäfts- und Zahlungsaufforderungen, die angeblich von bekannten Unternehmen stammen. Öffnen sie den Anhang, wird mehrstufig verschlüsselter Code ausgeführt – und das ohne Spuren auf der Festplatte zu hinterlassen.
Besonders perfide: Die Malware umgeht die Windows-Sicherheitsschnittstellen AMSI und ETW. Erste Vorfälle dieser Art wurden bereits im Oktober 2025 registriert, doch erst im Frühjahr 2026 nahm die Kampagne richtig Fahrt auf.
SVG-Dateien: Der unerwartete Gefahrenherd
Ein völlig anderer Angriffsvektor gewinnt rasant an Bedeutung: SVG-Dateien. Eigentlich für Vektorgrafiken gedacht, dienen sie zunehmend als Trojaner-Pferd.
Die Analysefirma OPSWAT meldet einen dramatischen Anstieg: 2025 gab es 50-mal mehr bösartige SVG-Anhänge als im Vorjahr. Damit belegen sie Platz drei der gefährlichsten E-Mail-Anhänge.
Rekord-Schäden durch Phishing und manipulierte Dateianhänge belasten deutsche Unternehmen zunehmend. Dieser kostenlose Experten-Report zeigt Ihnen in 4 Schritten, wie Sie sich effektiv gegen moderne Hacker-Abwehr und psychologische Manipulationstaktiken wappnen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Eine einzige Kampagne im Juni 2026 verschickte 1,2 Millionen SVG-Phishing-Mails an über 53.000 Organisationen in 23 Ländern. Die Dateien enthalten verschlüsselten JavaScript-Code und nutzen einen veralteten MIME-Typ, um Sicherheitssoftware auszutricksen.
Künstliche Intelligenz beschleunigt Angriffe
Die Bedrohungslage verschärft sich durch den Einsatz von KI-gestützten Automatisierungstools. Eine Kampagne, die mit chinesischsprachigen Akteuren in Verbindung gebracht wird, nutzte demnach Claude Code und DeepSeek-v4-pro, um Angriffe auf Regierungssysteme in Thailand, Afghanistan und Taiwan zu automatisieren. Auch globale Finanzkonzerne waren im Visier.
Forscher von Hunt.io konnten auf Servern in Hongkong mehr als 2.400 Dateien aus einem offenen Verzeichnis dieser Operation sicherstellen.
In Südostasien treibt zudem der GoSerpent-Backdoor sein Unwesen. Seit Ende 2025 greift dieser Schädling diplomatische und staatliche Einrichtungen an. Der in der Programmiersprache Go geschriebene Remote-Access-Trojaner (RAT) nutzt die ChaCha20-Verschlüsselung. Seit Mai 2026 befindet er sich in einer zweiten Angriffswelle und setzt nun den Stowaway-RAT zum Datendiebstahl ein.
Die Clickfix-Falle: Falsche Captchas als Köder
Eine besonders hinterhältige Methode verbreitet sich rasant: die sogenannte Clickfix-Technik. Dabei werden kompromittierte Websites genutzt, um gefälschte Captcha-Abfragen einzublenden. Wer darauf klickt, führt unbemerkt PowerShell-Befehle aus – und öffnet den Angreifern Tür und Tor.
Da Cyberangriffe immer komplexer werden und neue KI-Gesetze zusätzliche Pflichten für Betriebe schaffen, ist proaktive Aufklärung für Unternehmer unerlässlich. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken ohne teure Investitionen schließen und Ihr Unternehmen langfristig absichern. Kostenloses E-Book: Cyber Security Trends sichern
Die russische Hackergruppe Sandworm setzt diese Taktik seit dem Frühjahr 2026 gezielt gegen ukrainische Organisationen ein. Auch der TELEPUZ-Schädling verbreitet sich seit Ende April 2026 über Clickfix-Köder. Dieser modulare Windows-Trojaner kommuniziert über Telegram, Steam und die Polygon-Blockchain mit seinen Steuerungsservern – und macht sich so schwer analysierbar.
OkoBot: 20 verschiedene Schadprogramme aus einer Quelle
Erst am gestrigen Donnerstag wurde eine weitere Clickfix-Kampagne bekannt: Das OkoBot-Framework hat seit Januar 2026 mehr als 20 verschiedene Schadprogramme über gefälschte Captchas und fingierte GitHub-Repositories verteilt.
Im Fokus stehen vor allem Kryptowährungs-Wallets und Zugangsdaten. Die meisten Opfer sitzen in Brasilien, Vietnam und Kanada. Die schiere Vielfalt der eingesetzten Malware macht die Abwehr für Sicherheitsteams besonders schwierig.

