Windows-Malware missbraucht Verknüpfungsdateien für Cyberangriffe
Cyberkriminelle nutzen manipulierte Windows-Verknüpfungen, um Sicherheitssysteme zu umgehen. Die Angriffe zielen auf Datendiebstahl und haben sich 2024 mehr als verdreifacht.
Cyberkriminelle setzen auf eine perfide neue Taktik: Sie verwandeln harmlose Windows-Verknüpfungen in gefährliche Malware-Schleudern. Diese raffinierte Angriffsmethode umgeht selbst moderne Sicherheitssysteme und macht aus alltäglichen .LNK-Dateien eine ernsthafte Bedrohung für Millionen von Nutzern.
Die von Sicherheitsforschern diese Woche identifizierten Angriffskampagnen nutzen eine „Living-off-the-Land“-Strategie: Sie missbrauchen legitime Windows-Systemtools, um schädlichen Code auszuführen. Das macht die Attacken für herkömmliche Antivirenprogramme praktisch unsichtbar.
Die Malware gelangt hauptsächlich über Phishing-E-Mails und Discord-Kanäle auf die Rechner der Opfer. Was diese neue Bedrohung besonders gefährlich macht? Sie verwendet alltägliche Windows-Funktionen als Waffe.
Getarnte Gefahr: Wie aus Verknüpfungen Trojaner werden
Der Angriff beginnt mit Social Engineering. Nutzer werden dazu verleitet, eine scheinbar harmlose LNK-Datei herunterzuladen und zu öffnen. Diese Dateien tarnen sich geschickt mit vertrauten Symbolen – oft als PDF-Dokument oder Textdatei.
Ein kürzlich analysierter Fall zeigt das perfide Vorgehen: Angreifer verteilten über Discord eine Verknüpfung namens „cyber security.lnk“. Beim Klick öffnet sich zwar ein harmloses PDF-Dokument, doch gleichzeitig startet im Hintergrund ein verstecktes PowerShell-Skript.
Dieses Skript nutzt dann das legitime Windows-Tool odbcconf.exe, um eine schädliche DLL-Datei auszuführen. Clever: Da nur vertrauenswürdige Systemprogramme verwendet werden, schlagen die meisten Sicherheitskontrollen keinen Alarm.
Anzeige: Übrigens: Wer nach einem Malware-Verdacht schnell wieder ein sauberes System braucht, sollte vorbereitet sein. Ein kostenloser Report zeigt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und im Notfall richtig einsetzen – ideal für Neuinstallation oder Reparatur ohne teuren Service. Inklusive Checkliste und typischen Fehlern, die Sie vermeiden sollten. Jetzt kostenlosen Boot‑Stick‑Guide sichern
Sicherheitsbarrieren ausgehebelt: MOTW und AMSI wirkungslos
Besonders raffiniert ist die Umgehung von Windows‘ eingebauten Schutzfunktionen. Normalerweise versieht das Betriebssystem aus dem Internet heruntergeladene Dateien mit dem „Mark-of-the-Web“-Attribut (MOTW), das zusätzliche Sicherheitsprüfungen auslöst.
Die Angreifer nutzen jedoch eine Technik namens „LNK Stomping“: Sie erstellen Verknüpfungsdateien mit ungewöhnlichen Strukturen. Windows versucht diese „defekten“ Dateien automatisch zu reparieren – und entfernt dabei versehentlich das MOTW-Attribut. Die schädliche Datei erscheint plötzlich als vertrauenswürdig und kann ohne Sicherheitswarnungen ausgeführt werden.
Noch ausgeklügelter sind Varianten, die Windows‘ Anti-Malware Scan Interface (AMSI) direkt manipulieren. AMSI ermöglicht es Antivirenprogrammen, Skripte und Code im Arbeitsspeicher zu überprüfen. Die Malware überschreibt jedoch gezielt einige Bytes dieser Funktion und macht sie damit blind für schädliche Aktivitäten.
Das Ziel: Vollzugriff und Datendiebstahl
Die LNK-Angriffe zielen darauf ab, sogenannte Remote Access Trojaner (RATs) zu installieren. Diese Schädlinge gewähren Kriminellen umfassende Kontrolle über infizierte Rechner.
Die eingesetzten RATs können Screenshots anfertigen, Tastatureingaben protokollieren und detaillierte Systeminformationen sammeln – einschließlich der installierten Antivirensoftware. Besonders perfide: Sie nutzen verschlüsselte Kommunikationskanäle und tarnen sich als legitimer Cloud-Verkehr.
Ein beobachteter Trojaner verwendet beispielsweise die Dropbox-API mit fest programmierten Zugangsdaten, um gestohlene Daten hochzuladen. Für Netzwerk-Sicherheitssysteme ist dieser Datenverkehr von normaler Dropbox-Nutzung kaum zu unterscheiden.
Paradigmenwechsel bei Cyberattacken
Der Boom bei schädlichen LNK-Dateien ist eine direkte Reaktion auf verbesserte Sicherheitsmaßnahmen. Seit Microsoft Office-Makros für aus dem Internet heruntergeladene Dateien standardmäßig deaktiviert, mussten sich Angreifer neue Wege suchen.
Die Zahlen sprechen eine deutliche Sprache: Sicherheitsforscher registrierten einen dramatischen Anstieg von knapp über 21.000 schädlichen LNK-Dateien im Jahr 2023 auf fast 70.000 in 2024.
Diese Entwicklung zeigt die Anpassungsfähigkeit der Cyberkriminellen, die stets den Weg des geringsten Widerstands suchen. Indem sie bereits vorhandene Systemtools missbrauchen, umgehen sie signaturbasierte Erkennungssysteme geschickt.
Schutzmaßnahmen für Unternehmen und Privatnutzer
Experten erwarten eine weitere Zunahme und Weiterentwicklung dieser Angriffsmethode. Ein mehrstufiger Schutzansatz ist daher unerlässlich.
Nutzeraufklärung steht an erster Stelle: Besondere Vorsicht ist bei Verknüpfungsdateien aus unbekannten Quellen geboten, insbesondere wenn sie per E-Mail oder Messenger empfangen wurden.
Technische Gegenmaßnahmen umfassen die Aktivierung der Windows-Einstellung „Dateierweiterungen anzeigen“, um getarnte LNK-Dateien zu entlarven. Professionelle Endpoint Detection and Response-Systeme (EDR) können verdächtige Verhaltensweisen erkennen – etwa wenn odbcconf.exe ungewöhnliche Prozesse startet oder unerwartete Netzwerkverbindungen aufbaut.
Anzeige: Für alle, die Windows-Risiken reduzieren und parallel eine sicherere Alternative testen möchten: Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu risikofrei neben Windows installieren. Mehr Tempo, Stabilität und weniger Viren-Ärger – ganz ohne Lizenzkosten. Kostenloses Linux-Startpaket jetzt anfordern
Entscheidend bleibt die konsequente Aktualisierung aller Systeme und Sicherheitssoftware, da Hersteller kontinuierlich neue Erkennungsmethoden entwickeln.
