{"id":5167,"date":"2025-10-02T14:32:00","date_gmt":"2025-10-02T14:32:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5167"},"modified":"2025-10-02T14:32:00","modified_gmt":"2025-10-02T14:32:00","slug":"neue-phishing-variante-greift-gmail-nutzer-an","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5167","title":{"rendered":"Neue Phishing-Variante greift Gmail-Nutzer an"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?quality=50&strip=all 7008w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Hacker haben gef\u00e4lschte PDF-Dateien an Gmail-Nutzer verschickt, die t\u00e4uschend echt wirken. \n

Prae_Studio \u2013 shutterstock.com<\/p>\n<\/div>\n

Forscher des Sicherheitsunternehmens Varonis haben eine raffinierte Phishing-Methode entdeckt, die auf Gmail-Nutzer zielt. Dabei kommt eine Malware zum Einsatz, die sich nicht nur als PDF-Anhang tarnt, sondern die Opfer automatisch dazu auffordert, diesen zu \u00f6ffnen.<\/p>\n

\u201eDer Dateityp .PDF ist im privaten und gesch\u00e4ftlichen Bereich allgegenw\u00e4rtig geworden\u201c, erkl\u00e4rt Erik Avakian, technischer Berater bei der Info-Tech Research Group. \u201eDas schafft Vertrauen. Die Leute sehen eine PDF-Datei und gehen davon aus, dass sie sicher ist. Sie l\u00f6st auch nicht die gleichen Alarmglocken aus wie andere Dateitypen, beispielsweise .exe oder .zip.\u201c<\/p>\n

So funktioniert der Angriff<\/h2>\n

Die Angreifer haben ein Toolkit namens MatrixPDF entwickelt, das Phishing- und Malware-Funktionen in einem Builder b\u00fcndelt. Es bettet gef\u00e4lschte Eingabeaufforderungen, JavaScript-Aktionen und automatische Weiterleitungen in scheinbar legitime PDF-Dateien ein.<\/p>\n

Kriminelle Akteure k\u00f6nnen dabei den externen Link festlegen, zu dem die PDF-Datei weiterleitet. Zudem erm\u00f6glicht es MatrixPDF, Dokumente so zu \u00e4ndern, dass sie \u00fcberzeugend wirken. Zum Beispiel durch Einf\u00fcgen eines Vorh\u00e4ngeschloss-Symbols oder eines Firmenlogos. Das Toolkit kann aber auch dazu verwendet werden, um den Inhalt des Dokuments zu verbergen.<\/p>\n

Die Forscher von Varonis haben zwei M\u00f6glichkeiten identifiziert, wie Angreifer MatrixPDF einsetzen: Im ersten Fall nutzen sie die Vorschaufunktion von Gmail aus. Die von ihnen erstellte PDF-Datei kann Sicherheitsvorkehrungen und Filter umgehen, da sie nur Skripte und einen externen Link enth\u00e4lt, aber keinen Standard-URL-Hyperlink, der normalerweise mit Malware in Verbindung gebracht wird.<\/p>\n

Die PDF-Datei wird normal gerendert, aber der Text des Dokuments ist unscharf, und die Benutzer erhalten eine Aufforderung zum \u201e\u00d6ffnen des sicheren Dokuments\u201d, die im Wesentlichen ein Phishing-K\u00f6der ist. Wenn das Opfer auf die Schaltfl\u00e4che klickt, \u00f6ffnet sich eine externe Website in seinem Browser. Die Forscher fanden sogar ein Beispiel, bei dem der eingebettete Link zu einem Download f\u00fcr einen legitimen SSH-Client auf einer \u00f6ffentlichen Website f\u00fchrte.<\/p>\n

Angreifer umgehen Gmail-Sicherheitsfunktion<\/h2>\n

\u201eDie Methode umgeht die Sicherheitsvorkehrungen von Gmail, da die Malware-Pr\u00fcfung nichts \u201aVerd\u00e4chtiges\u2018 findet\u201c, erkl\u00e4ren die Forscher. Der sch\u00e4dliche Inhalt wird nur abgerufen, wenn der Benutzer aktiv darauf klickt, was Gmail als von diesem \u00a0initiiert und daher als ungef\u00e4hrlich interpretiert. Au\u00dferdem erfolgt der Datei-Download au\u00dferhalb der Antiviren-Sandbox der E-Mail-Plattform, sodass Sicherheitsfilter nicht eingreifen k\u00f6nnen.<\/p>\n

Die zweite MatrixPDF-Methode verwendet in PDF eingebettetes JavaScript. Das Opfer l\u00e4dt die PDF-Datei herunter oder \u00f6ffnet sie in einem Desktop-Reader (wie Adobe Acrobat) oder einem Browser-nativen Viewer und f\u00fchrt das Skript aus. Die PDF-Datei verbindet sich dann automatisch mit der Payload-URL und ruft eine Datei ab.<\/p>\n

\u201eIn der Regel zeigen PDF-Reader eine Sicherheitswarnung an, die den Benutzer darauf hinweist, dass ein Dokument versucht, auf eine externe Ressource zuzugreifen\u201c, so die Security-Spezialisten. Bei dieser Methode wird das PDF jedoch so konfiguriert, dass es eine kurze URL aufruft, die \u201evage legitim\u201c erscheint.<\/p>\n

Das Opfer erh\u00e4lt daraufhin ein Popup mit einer Zugriffsanfrage. Klickt der Nutzer auf \u201eZulassen\u201c, ruft das Skript den sch\u00e4dliche Workload ab und \u00b4startet den Download; das Dokument wird dann auf dem Ger\u00e4t des Benutzers gespeichert und die Malware ausgef\u00fchrt.<\/p>\n

\u201eDiese Methode ist erfolgreich, da der Benutzer keinen Link anklicken muss. Sie setzt jedoch darauf, dass der Benutzer die Berechtigung zum Zugriff erteilt\u201c, hei\u00dft es im Forschungsbericht.<\/p>\n

\u201eAls Waffe eingesetzte PDF-Dateien in Phishing-E-Mails sind seit langem ein Problem\u201c, mahnt David Shipley von Beauceron Security. \u201eDieses Tool macht es Cyberkriminellen kinderleicht, solche Dateien zu erstellen.\u201c<\/p>\n

Nutzung privater E-Mails erh\u00f6ht das Risiko f\u00fcr Unternehmen<\/h2>\n

Mitarbeiter greifen zunehmend von Firmen-PCs aus auf private E-Mail-Konten zu, insbesondere in hybriden und Remote-Arbeitsumgebungen. Angesichts der Tatsache, dass Hacker Zugang zu einfach zu bedienenden Tools wie MatrixPDF haben, raten Experten Unternehmen jedoch zu erh\u00f6hter Wachsamkeit.<\/p>\n

\u201eCISOs und CIOs sollten M\u00f6glichkeiten in Betracht ziehen, entweder den Zugriff auf private Webmail-Konten \u00fcber die Unternehmensinfrastruktur zu beschr\u00e4nken oder festzustellen, wo dies tats\u00e4chlich erforderlich ist\u201c, r\u00e4t Avakian von InfoTech. \u201ePrivate E-Mails verf\u00fcgen einfach nicht \u00fcber die gleichen Sicherheitsvorkehrungen wie E-Mail-Sicherheitsdienste von Unternehmen.\u201c<\/p>\n

Ensar Seker, CISO beim Threat-Intelligence-Unternehmen SOCRadar, bezeichnet diesen neuen E-Mail-Angriffsvektor als eine \u201egef\u00e4hrliche Weiterentwicklung des Social Engineering<\/a>\u201c. Er f\u00fcgt hinzu: \u201eDadurch wird der Endpunkt zum schw\u00e4chsten Glied in der Kill Chain. Sobald ein einzelnes Ger\u00e4t kompromittiert ist, kann es zum Dreh- und Angelpunkt f\u00fcr laterale Bewegungen, den Diebstahl von Anmeldedaten oder den ersten Zugriff f\u00fcr die Bereitstellung von Ransomware werden.\u201c<\/p>\n

Wie sich Unternehmen wappnen k\u00f6nnen<\/h2>\n

Die gute Nachricht ist jedoch laut Shipley von Beauceron, dass Phishing-Angriffe mit Anh\u00e4ngen tendenziell eine geringere Erfolgsquote haben. Das liegt daran, dass sie zus\u00e4tzliche kognitive Anstrengungen und Schritte seitens des Benutzers erfordern, im Gegensatz zum einfachen Klicken auf einen Link in einer E-Mail.<\/p>\n

\u201eUnternehmen sollten ein Gleichgewicht zwischen Investitionen in E-Mail-Filter und h\u00e4ufigen und effektiven Awareness-Schulungen<\/a> finden\u201c, merkte er an. \u201eLetztendlich m\u00fcssen die Mitarbeiter motiviert werden, wachsam zu bleiben.\u201c<\/p>\n

Seker von SOCRadar erg\u00e4nzt: \u201eCISOs m\u00fcssen \u00fcber technische Abwehrma\u00dfnahmen hinausgehen und klare Leitplanken festlegen.Das bedeutet, bekannte sch\u00e4dliche Dateitypen zu blockieren, robuste Sandboxing-L\u00f6sungen f\u00fcr Anh\u00e4nge einzusetzen und Endpunkt-Erkennung zu nutzen, um verd\u00e4chtiges Dateiverhalten nach der Zustellung zu \u00fcberwachen.\u201c<\/p>\n

Zudem empfiehlt er Unternehmen, Richtlinien durchsetzen, die es Mitarbeitern verbieten, auf Unternehmensger\u00e4ten auf private E-Mails zuzugreifen. \u201eDie Aufkl\u00e4rung der Mitarbeiter \u00fcber die Funktionsweise dieser Angriffe ist besonders wichtig in einer Zeit, in der selbst eine harmlos aussehende PDF-Datei die Spitze einer Spear-Phishing-Kampagne sein kann\u201c.<\/p>\n

Seker f\u00fcgte hinzu: \u201eLetztendlich muss eine mehrschichtige Verteidigung nicht nur Zero Trust<\/a> f\u00fcr Benutzer, sondern auch Zero Assumption f\u00fcr die Dateisicherheit umfassen.\u201c<\/p>\n

Avakian von Info-Tech stimmt zu. Angriffe vom Typ MatrixPDF b\u00f6ten eine \u201efantastische Gelegenheit\u201c, um Sensibilisierungsma\u00dfnahmen und Schulungen mit einfachen Visualisierungen und realistischen \u201eWas-w\u00e4re-wenn\u201c-Szenarien zu integrieren. Unternehmen sollten auch eine \u201eThink Before You Click\u201c-Kultur f\u00f6rdern und es ihren Mitarbeitern, der ersten Verteidigungslinie, leicht machen, verd\u00e4chtige E-Mails zu melden.<\/p>\n

Ebenso wichtig sei es, dass Unternehmen darauf achten, \u201eMitarbeiter zu belohnen, die dies richtig machen\u201c.<\/p>\n

\u201eAnerkennung hat eine gro\u00dfe Wirkung\u201c, so Avakian. \u201eIndem sie Mitarbeiter belohnen, die Phishing-Versuche erkennen und melden, k\u00f6nnen Sicherheitsverantwortliche das Bewusstsein schrittweise verbessern und eine sicherheitsbewusste Kultur f\u00f6rdern.\u201c (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?quality=50&strip=all 7008w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/10\/shutterstock_2423047525.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Hacker haben gef\u00e4lschte PDF-Dateien an Gmail-Nutzer verschickt, die t\u00e4uschend echt wirken. Prae_Studio \u2013 shutterstock.com Forscher des Sicherheitsunternehmens Varonis haben eine raffinierte Phishing-Methode entdeckt, die auf Gmail-Nutzer zielt. […]<\/p>\n","protected":false},"author":0,"featured_media":5169,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5167","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5167"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5167"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5167\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5169"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5167"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5167"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5167"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}