EtherRAT: Die neue Cyberbedrohung, die über harmlose E-Mails ins Büro schleicht
Heute ist der 7.07.2026 und es gibt Neuigkeiten aus der Cyberwelt, die uns zeigen, wie wichtig es ist, stets wachsam zu bleiben. Sicherheitsforscher von Palo Alto Networks Unit 42 haben eine neue Cyberangriffskampagne aufgedeckt, die es in sich hat. Unter dem Namen EtherRAT geht eine gefährliche Malware um, die über scheinbar harmlose E-Mails verbreitet wird. Diese E-Mails, die als Mitarbeiterumfragen getarnt sind, enthalten manipulierte PDF-Dateien. Ein Klick darauf kann fatale Folgen haben!
Nach dem Öffnen der Datei erhalten die Opfer oft einen Anruf über Microsoft Teams von vermeintlichen IT-Support-Mitarbeitern. Hier beginnt das eigentliche Unheil. Die Angreifer überzeugen ihre Opfer, den Bildschirm zu teilen und ihnen die Fernsteuerung zu gestatten. Zuerst installieren sie legitime Fernwartungstools wie AnyDesk oder HopToDesk – das klingt alles ganz normal, bis die eigentliche Gefahr beginnt. Ein schädlicher Installer wird von einem externen Server heruntergeladen und installiert, um EtherRAT auf dem infizierten Rechner zu aktivieren. Und der Trick dabei? EtherRAT nutzt die Ethereum-Blockchain zur Steuerung der infizierten Rechner, was es den Sicherheitsbehörden enorm schwer macht, die Kommandozentrale zu schließen.
Wie EtherRAT arbeitet
Die Entdeckung der EtherRAT-Malware während einer Bedrohungssuche hat die Sicherheitsgemeinschaft alarmiert. Diese Malware ist ein in Node.js entwickelter Remote Access Trojan (RAT), der vollen Zugriff auf den Computer ermöglicht. Sie wird über eine Website mit einer etwas merkwürdigen Homepage verbreitet, die eindeutig auf ein Hacking-Thema abzielt. Die Verbreitung erfolgt typischerweise über MSI, PowerShell oder JavaScript-Skripte – ein wahrer Albtraum für jeden IT-Sicherheitsbeauftragten.
Die Versionen der Malware reichen von v1 bis v10 und die MSI-Datei „v9.msi“ enthält mehrere Komponenten, die bei der Ausführung schädliche Aktivitäten initiieren. Es ist schockierend, wie einfach die Angreifer an die Kontrolle über die Systeme der Opfer gelangen. Die Malware überprüft zunächst, ob Node.js auf dem Rechner installiert ist. Falls nicht, wird es heruntergeladen. Danach kann EtherRAT beliebige JavaScript-Codes ausführen, die vom Command and Control-Server empfangen werden. Das bedeutet, dass die Angreifer letztendlich die Kontrolle über die Maschinen übernehmen können, als wären sie selbst vor Ort.
Phishing-Methoden der neuen Generation
Und es wird noch schlimmer. In den letzten Monaten wurden neue Phishing-Methoden beobachtet, die darauf abzielen, die Zwei-Faktor-Authentifizierung zu umgehen. Opfer erhalten passwortgeschützte PDF-Dateien und werden auf gefälschte Portale geleitet. Dort müssen sie einen Einmalcode eingeben und schwupps – die Angreifer haben Zugriff auf ihre E-Mails und können sogar Dateien herunterladen. Cisco Talos hat ein neues Phishing-Toolkit namens ARToken entdeckt, das diesen Prozess automatisiert und damit eine neue Dimension der Bedrohung darstellt.
Google warnte vor einer ähnlichen Gruppe namens UNC6692, die die Malware Snow verwendet, die ebenfalls auf Microsoft Teams-Nutzer abzielt. Diese Malware enthält Werkzeuge für Browser-Persistenz und Fernzugriff, was die Sicherheitslage weiter verschärft. Die Kombination aus Social Engineering und dezentraler Steuerungsinfrastruktur stellt einen Wendepunkt in der Bedrohungslandschaft dar, wie Experten warnen.
Ein Blick auf die Sicherheitslandschaft
Inmitten dieser Bedrohungen gibt es auch positive Entwicklungen. So haben beispielsweise drei Fraunhofer-Institute einen Sicherheitschip entwickelt, der in Deutschland entworfen und produziert wurde. Der RISC-V Secure Element soll für mehr Sicherheit in vernetzten Geräten sorgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem einen Entwurf für eine neue Prüfarchitektur für Künstliche Intelligenz vorgestellt, um der wachsenden Bedrohung durch Cyberangriffe zu begegnen.
In einem weiteren spannenden Fall wurde ein mutmaßliches Mitglied der Hackergruppe Scattered Spider in Finnland gefasst und in die USA überstellt. Dies zeigt, dass die Behörden auch gegen die Hintermänner solcher Angriffe vorgehen. Auch in Mecklenburg-Vorpommern wird die Digitalstrategie umgestellt, um nicht mehr auf Cloud- und KI-Dienste großer US-Konzerne zu setzen. Stattdessen wird auf eine eigene Plattform wie Nextcloud gesetzt.
Die Entwicklungen im Bereich Cyber-Sicherheit sind rasant und zeigen, wie wichtig es ist, wachsam zu bleiben. Die Bedrohungen sind vielfältig und die Angreifer nutzen immer raffiniertere Methoden, um ihre Ziele zu erreichen. Es bleibt spannend, wie sich die Dinge in der Zukunft entwickeln werden.
