Eine ausgeklügelte Malware-Kampagne legt gezielt Microsoft Defender lahm, bevor sie Systeme mit Spionage-Trojanern oder Ransomware infiziert. Cybersicherheitsexperten warnen vor dieser mehrstufigen Angriffswelle, die seit 72 Stunden aktiv ist und auf Social Engineering setzt.
Tarnung über Cloud-Dienste und gezielte Deaktivierung
Der Angriff beginnt mit geschickt gefälschten Geschäftsdokumenten. Nutzer werden dazu verleitet, ein Archiv zu extrahieren, das einen schädlichen Shortcut enthält. Die Besonderheit: Die ersten Schad-Dateien lagern nicht auf verdächtigen Servern, sondern auf legitimen Cloud-Diensten. Das umgeht viele netzwerkbasierte Sicherheitssysteme.
Interagiert ein Nutzer mit dem Shortcut, startet die Kern-Operation: die gezielte Deaktivierung von Microsoft Defender. Spezielle Tools wie „Defendnot“ schalten den Schutz systematisch ab. In parallelen Kampagnen dieser Woche fügten Angreifer Defender gezielte Ausnahmen hinzu – etwa für das C:\ProgramData-Verzeichnis. So können nachfolgende Schad-Dateien unentdeckt agieren.
Viele Unternehmen unterschätzen, wie leicht Kriminelle Sicherheitssoftware aushebeln — genau wie in dieser Kampagne, in der Microsoft Defender gezielt abgeschaltet wurde. Ein kostenloses E‑Book erklärt praxisnah, welche mehrschichtigen Maßnahmen jetzt helfen: erprobte E‑Mail-Sicherheitsregeln gegen Social‑Engineering, einfache Monitoring‑Schritte bei verdächtigen „Living Off the Land“-Aktivitäten (LOLBins) und Checklisten für Backup‑ und Patch‑Strategien. Ideal für IT‑Verantwortliche und Entscheider, die ohne große Investitionen das Risiko deutlich senken wollen. Jetzt kostenlosen Cyber-Security-Awareness-Guide herunterladen
„Living Off the Land“ tarnt bösartige Aktivitäten
Ist der Defender ausgeschaltet, nutzen die Angreifer eine besonders tückische Taktik: „Living Off the Land“ (LOL). Dabei missbrauchen sie legitime Windows-Bordmittel, sogenannte LOLBins, für ihre Zwecke.
Analysen zeigen den Einsatz von forfiles.exe, mshta.exe und curl.exe. Diese vertrauenswürdigen Tools laden Skripte herunter und führen sie aus – weitgehend unbemerkt von klassischer Antiviren-Software. Das Ziel: Die Installation von Schadsoftware wie dem Amnesia Remote Access Trojan (RAT) zur Spionage oder von Ransomware. Über versteckte Registry-Einträge wie UserInitMprLogonScript sichern sich die Angreifer dauerhaften Zugang.
Mehrschichtige Abwehr wird immer wichtiger
Die Kampagne zeigt, wie strategisch und geduldig moderne Cyberkriminelle vorgehen. Die priorisierte Ausschaltung von Sicherheitssoftware nutzt die Abhängigkeit vieler Unternehmen von Standard-Endpoint-Schutz aus. Der LOLBin-Einsatz verwischt zudem die Grenze zwischen normaler Systemadministration und bösartiger Aktivität.
Experten raten zu einer mehrschichtigen Sicherheitsstrategie. Dazu gehören:
* Fortgeschrittene E-Mail-Sicherheit, die schädliche Dokumente und Links blockiert
* Regelmäßige Sensibilisierung der Mitarbeiter für Social Engineering
* Konsequentes Patch-Management für alle Systeme und Anwendungen
* Umfassende Backup-Strategien mit externen, unveränderlichen Sicherungskopien für den Ransomware-Fall
