logo ntadmins

Diebstahl von Zugangsdaten vermeiden

19. Januar 2026
credit card NT Pixa Kris
Quelle: Kris, Pixabay

Tamperedchef ist auf den Diebstahl von Zugangsdaten ausgelegt– vermutlich als Teil einer größeren Kampagne namens EvilAI. Frühere Untersuchungen deuten darauf hin, dass die Kampagne bereits Ende Juni 2025 ihren Anfang nahm, da viele der zugehörigen Websites an diesem Tag registriert oder erstmals identifiziert wurden. Die Websites bewarben über Google Ads eine mit einem Trojaner infizierte PDF-Bearbeitungsanwendung namens „AppSuite PDF Editor“. Diese Anwendung erschien legitim, installierte aber nach der Installation unbemerkt einen Infostealer, der Windows-Geräte ins Visier nahm.

Die Telemetrie und Bedrohungsanalyse des Sophos-MDR-Teams ergaben, dass sich die meisten Opfer der Tamperedchef-Kampagne in Deutschland (ca. 15 Prozent) befanden, gefolgt von Großbritannien (ca. 14 Prozent) und Frankreich (ca. 9 Prozent). Die anvisierten Ziele stammen aus verschiedenen Branchen, insbesondere solchen, deren Betrieb stark von spezialisierter technischer Ausrüstung abhängt – möglicherweise, weil Anwender in diesen Branchen häufig online nach Produkthandbüchern suchen. Dieses Verhalten nutzt die Tamperedchef-Kampagne aus, um Schadsoftware zu verbreiten.

Weitere Untersuchungen ergaben, dass das große, mehrschichtige Verbreitungsnetzwerk mehrere fortgeschrittene Taktiken einsetzte, darunter eine verzögerte Aktivierungs-/Ruhephase, Ködersoftware, gestaffelte Auslieferung der Schadsoftware, Missbrauch von Code-Signaturzertifikaten und Versuche, Endpunktschutzmechanismen zu umgehen. Anderen Forschern zufolge scheint die Kampagne weiterhin aktiv zu sein. Es werden immer noch neue Komponenten entdeckt und die unterstützende Infrastruktur scheint weiterhin in Betrieb zu sein, auch wenn die von Sophos untersuchten Domains nun inaktiv sind.

Die Angreifer hinter der Tamperedchef-Kampagne entwickelten überzeugende Schadsoftware, nutzten gezielte Werbung für eine großflächige Verbreitung und sicherten sich Code-Signaturzertifikate. Ein fataler Mix mit gravierenden Folgen: Nutzer, die den AppSuite PDF Editor installiert haben, sollten davon ausgehen, dass alle in ihren Browsern gespeicherten Zugangsdaten kompromittiert sind.

Angreifer wissen genau, dass Malvertising ein erfolgreicher und effektiver Infektionsweg sein kann. Es ist deshalb sehr wahrscheinlich, dass die Angreifer hinter Tamperedchef und andere Gruppierungen auch in Zukunft ähnliche Strategien verfolgen. Experten empfehlen folgende Maßnahmen zur Prävention:

  • Vermeiden Sie die Installation von Software aus Werbung. Klicken Sie nicht auf Installations-Links oder Pop-ups in Online-Werbung – selbst wenn diese von bekannten Marken zu stammen scheinen. Laden Sie Software nur von offiziellen Herstellerseiten herunter.
    Implementieren Sie strenge Anwendungskontrollen und beschränken Sie in Unternehmen die Installation von Software soweit wie möglich auf genehmigte Software.
  • Verbessern Sie die Zugangsdatenverwaltung. Deaktivieren Sie nach Möglichkeit die browserbasierte Passwortspeicherung und erzwingen Sie die Verwendung sicherer, vom Unternehmen genehmigter Passwortmanager. Um das Risiko von Anmeldedatendiebstahl und unberechtigtem Zugriff zu reduzieren, ist für alle Konten die Multi-Faktor-Authentifizierung (MFA) und/oder ein Passwort empfehlenswert.
  • Schulen Sie Endbenutzer in Sachen Softwarebeschaffung. Führen Sie Sensibilisierungsschulungen durch, die auf das Erkennen von Schadsoftware, irreführenden Download-Seiten und betrügerischen Installationsprogrammen abzielen. Verdeutlichen Sie, dass Software nur von offiziellen Herstellerwebseiten oder vertrauenswürdigen App-Stores heruntergeladen werden sollte.

Als empfohlene Maßnahmen nach einem Vorfall gelten die folgenden Punkte:

  • Führen Sie umfassende Endpunktscans mit aktuellen Bedrohungsdaten durch, um bekannte Indikatoren für eine Kompromittierung zu erkennen.
  • Setzen Sie kompromittierte Endpunkte neu auf und setzen Sie die Anmeldeinformationen umgehend zurück, um das Risiko einer Persistenz zu beseitigen.
  • Überprüfen und erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle betroffenen Benutzer und Systeme, die bisher nicht geschützt waren.
  • Verbessern Sie die Verhaltensüberwachung und -erkennung, um schädliche Aktivitäten und potenzielle Folge-Payloads zu identifizieren.
  • Beschränken Sie die Installation nicht verifizierter oder unautorisierter Software mithilfe von Anwendungskontroll- und Herausgebervalidierungsrichtlinien.

Michael Veit ist Cybersecurity-Experte bei Sophos.

Zu mehr Details und Links

Lesen Sie auch

internet NT Pixa geralt

KI verändert die Spielregeln bei Cybersecurity und IT-Verwaltung

log in Pixa NT geralt

KI und Cyber-Sicherheit 2026: maßgebliche Rolle spielt der Mensch

hacker NT PIxa vickygarat

Die richtigen Strategien führen zu optimaler Cyber-Resilienz