Barracuda full logo

E-Mail-Bedrohungsradar – November 2025

Themen:
12. Nov.. 2025
|

Im vergangenen Monat haben die Barracuda-Bedrohungsanalysten folgende bemerkenswerte Entwicklungen bei E-Mail-basierten Bedrohungen festgestellt, die auf Organisationen abzielen:

  • Neue Tools und Taktiken für das Tycoon 2FA-Phishing-Kit
  • Unsichtbare Zeichen, die dem Cephas-Kit helfen, Scanner und Regeln zu umgehen
  • Ein ausgeklügelter Angriff, der Steganografie (im Bild versteckte Malware) einsetzt.

Was ist neu im Toolkit von Tycoon

Tycoon 2FA ist ein bekanntes und erfolgreiches Phishing-Kit, das trotz seiner Existenz seit August 2023 weiterhin eine ernsthafte Bedrohung für Unternehmen darstellt. Das Hauptziel von Tycoon ist es, Anmeldedaten von Microsoft 365- und neuerdings auch von Google Workspace-Konten zu stehlen.  Es verleitet Mitarbeiter dazu, Passwörter und Zwei-Faktor-Authentifizierungscodes auszuhändigen.

Was Tycoon so gefährlich macht, ist die Häufigkeit, mit der es sich verändert. Jede neue Version enthält kleine, aber clevere Aktualisierungen, die dazu beitragen, dass sie von herkömmlichen Security-Tools nicht erkannt wird.

Hier sind einige der neuesten Änderungen in den aktuellen Versionen:

CAPTCHA-Herausforderungen: Um legitimer zu erscheinen und automatisierte Security-Tools zu verlangsamen, enthält Tycoon jetzt verschiedene Arten von CAPTCHA-Tests, darunter bildbasierte Rätsel und „Drücken und Halten“-Herausforderungen.

Realistischere URLs: Die neuesten Webadressen ahmen echte Anmeldesequenzen nach, einschließlich OAuth2-Links und eindeutiger Codes, wodurch sie schwerer als Fälschung zu erkennen sind.
Komprimierter Code: Die neuesten Phishing-Seiten verwenden eine Methode namens LZString-Komprimierung, um große Teile des Codes zu verkleinern und zu verbergen. Dieser Code wird dann entpackt und direkt im Browser des Opfers ausgeführt, wodurch es für Security-Tools schwieriger wird, ihn abzufangen.

Dynamische Ausführung: Das bedeutet, dass der versteckte Code erst dann vollständig aufgedeckt und ausgeführt wird, wenn die Seite geladen ist, was dazu beiträgt, dass er unter dem Radar bleibt.

Zum Schutz vor solchen Angriffen: Implementieren Sie Sicherheitslösungen, die mehrschichtige Security-Kontrollen bieten. Suchen Sie nach solchen, die Anti-Phishing-Tools, adaptive Authentifizierung und kontinuierliche Überwachung bieten, um die Art von Adversary-in-the-Middle-(AiTM-)Abfangtaktiken zu erkennen, die von Bedrohungen wie Tycoon 2FA verwendet werden.

Das Cephas-Kit verwendet unsichtbare Zeichen, um Scanner und Regeln zu blockieren.

Cephas ist ein aufkommendes Phishing-Kit, das erstmals im August 2024 entdeckt wurde. Der Code enthält zahlreiche Kommentare mit Bezug zur Astronomie und zur Bibel.

Das Besondere an Cephas ist, dass es eine einzigartige und seltene Verschleierungstechnik einsetzt. Das Kit verschleiert seinen Code, indem es zufällige unsichtbare Zeichen im Quellcode erzeugt, die ihm helfen, Anti-Phishing-Scanner zu umgehen und zu verhindern, dass signaturbasierte YARA-Regeln die exakten Phishing-Methoden erkennen.

Zum Schutz vor solchen Angriffen: Erzwingen Sie MFA für alle Nutzer, insbesondere für Cloud-Dienste wie Microsoft 365. Erwägen Sie die Verwendung von Phishing-resistenten Methoden wie Hardware-Security-Schlüsseln anstelle von SMS- oder App-basierten Codes.

Heimliche Malware versteckt sich in Bildern, um der Entdeckung zu entgehen

Steganografie ist eine ausgeklügelte Angriffstechnik, bei der Daten in etwas versteckt werden, das harmlos aussieht, wie etwa in einem Bild. Im Gegensatz zur Verschlüsselung, die Dateninhalte verbirgt, verbirgt die Steganografie die Existenz von Daten. Dadurch wird die Erkennung deutlich erschwert.

Die Bedrohungsanalysten von Barracuda haben kürzlich eine Phishing-Kampagne entdeckt, die Steganographie nutzt.

Der Angriff beginnt mit einer Phishing-E-Mail, die wie eine echte Geschäftsnachricht aussieht, zum Beispiel eine Bestell- oder Preisanfrage. In den analysierten Beispielen enthielten die E-Mails Links zu Dateien, die auf einem gängigen und legitimen Dateiaustauschdienst gehostet wurden.

Bei den Dateien handelt es sich jedoch in Wirklichkeit um bösartige JavaScript-Dateien, die stark getarnt wurden, damit Security-Systeme sie nicht als gefährlich erkennen können.

Wenn ein Nutzer auf den Link klickt, wird die JavaScript-Datei heruntergeladen. Die Datei enthält versteckten Code, der mit Sonderzeichen und Codierung verschlüsselt wurde. Nach dem Entschlüsseln zeigt sich ein Befehl, der PowerShell startet, ein integriertes Windows-Tool, das häufig von Angreifern verwendet wird, um Code auszuführen, ohne offensichtliche Spuren zu hinterlassen.
Dieser PowerShell-Befehl ruft ein PNG-Bild von einer anderen legitimen Website ab. In dem Bild ist die echte Malware versteckt, so codiert, dass sie für Security-Software unsichtbar ist. 

Indem die Angreifer Malware in Bildern verstecken und vertrauenswürdige Plattformen nutzen, umgehen sie viele herkömmliche Security-Maßnahmen.

Die in dieser Phishing-Kampagne verwendete Malware nutzt auch mehrere andere ausgeklügelte Tricks, um unentdeckt zu bleiben:

  • Sie tarnt ihren Code mit verwirrenden Namen und verschlüsseltem Text.
  • Es führt Befehle im Hintergrund aus, ohne Fenster anzuzeigen.
  • Sie vermeidet es, etwas auf die Festplatte zu schreiben und versteckt sich stattdessen im Speicher des Geräts, wodurch sie schwerer aufzuspüren ist.

Dieser Angriff zeigt, wie alltägliche E-Mail-Bedrohungen jetzt fortgeschrittene und subtile Techniken verwenden, die zuvor hauptsächlich mit Spitzenangreifern wie Advanced Persistent Threats (APTs) in Verbindung gebracht wurden.

Um sich vor solchen Angriffen zu schützen: Achten Sie auf Warnzeichen wie das Auftreten ungewöhnlich großer Mediendateien oder Dateien mit doppeltem Inhalt sowie auf unerwarteten ausgehenden Datenverkehr oder Datenverkehr zu unbekannten Domains.

Stärken Sie Ihre Security mit einem multimodalen, KI-basierten E-Mail-Schutz, der heuristische und Verhaltensanalysen umfasst und eine breite Palette von Text- und visuellen Datentypen korrelieren und analysieren kann – darunter URLs, Dokumente, Bilder, QR-Codes und mehr.

Es lohnt sich auch, Makros in Dokumenten standardmäßig zu blockieren und die Auswahl der zulässigen Dateitypen für E-Mail- und Web-Uploads einzuschränken.

Wie Barracuda Email Protection Ihrem Unternehmen helfen kann

Barracuda Email Protection bietet eine umfassende Suite von Funktionen, die zum Schutz vor fortschrittlichen E-Mail-Bedrohungen entwickelt wurden.

Es umfasst Funktionen wie Email Gateway Defense, das vor Phishing und Malware schützt, und Impersonation Protection, das vor Social Engineering-Angriffen schützt.

Darüber hinaus bietet es Incident Response und Domain-Fraud-Vorbeugung, um die Risiken im Zusammenhang mit kompromittierten Konten und betrügerischen Domains zu mindern. Der Service umfasst auch Cloud-to-Cloud Backup und Schulung zur Stärkung des Risikobewusstseins, um die allgemeine E-Mail-Sicherheitslage zu verbessern.

Barracuda kombiniert künstliche Intelligenz und weitreichende Integration mit Microsoft 365 in einer umfassenden, Cloud-basierten Lösung zum Schutz vor potenziell verheerenden, hochgradig zielgerichteten Phishing- und Identitätsmissbrauchsangriffen.

Weitere Informationen finden Sie hier.

Erfahren Sie, wie Barracuda Sie beim Schutz Ihres Unternehmens unterstützen kann
Verwandte Beiträge:
SOC Threat Radar — December 2025
SOC Threat Radar — December 2025
 December webinars: Combating identity compromise and account takeover
December webinars: Combating identity compromise and account takeover
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
 Sicherheitsprognosen für das Jahr 2026: Die Phishing-Techniken, auf die Sie sich vorbereiten sollten
Sicherheitsprognosen für das Jahr 2026: Die Phishing-Techniken, auf die Sie sich vorbereiten sollten
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.