Cyberkriminelle, Fernwartungs-Tools

Cyberkriminelle kapern legale Fernwartungs-Tools

06.02.2026 - 04:25:11

Sicherheitsforscher warnen vor einer neuen Angriffsmethode, bei der Hacker über präparierte Screensaver-Dateien legale Fernwartungssoftware installieren. Diese 'Living off the Land'-Taktik umgeht klassische Sicherheitsmaßnahmen.

Cyberkriminelle kapern legale Fernwartungs-Tools - Foto: über boerse-global.de
Cyberkriminelle kapern legale Fernwartungs-Tools - Foto: über boerse-global.de

Sicherheitsforscher warnen vor einer neuen Angriffswelle: Hacker nutzen vertrauenswürdige Software wie Screensaver-Dateien für ihre Attacken und umgehen so klassische Abwehrmaßnahmen.

In einer besorgniserregenden Eskalation der Cyber-Bedrohungslage haben Sicherheitsexperten diese Woche mehrere hochgradig ausgefeilte Kampagnen aufgedeckt. Die Angreifer missbrauchen dabei legale Tools für Fernwartung und -verwaltung und verwandeln vertrauenswürdige Software in ein Einfallstor für schädlichen Zugriff. Neue Berichte vom Anfang Februar 2026 zeigen: Die Täter setzen zunehmend auf raffinierte Social-Engineering-Methoden. Dazu gehören präparierte Windows-Screensaver und gefälschte Voicemail-Benachrichtigungen, um Fernzugriffssoftware in Unternehmensnetzwerken zu installieren.

In Wirklichkeit handelt es sich um ausführbare Screensaver. Öffnet ein ahnungsloser Nutzer die Datei, installiert sie lautlos ein legales RMM-Tool wie SimpleHelp – ohne weitere Nachfrage. Da .scr-Dateien wie .exe-Programme beliebigen Code ausführen können, ist dieser Angriffsweg effektiv. Viele Sicherheitssysteme blockieren Screensaver-Dateien nicht, und Nutzer kennen das Risiko nicht. Ist die Software installiert, baut sie eine Verbindung zur Infrastruktur der Angreifer auf. Diese erhalten so langfristigen Fernzugriff für Datendiebstahl oder Ransomware-Angriffe.

Diese Angriffswelle markiert eine strategische Verschiebung hin zum sogenannten „Living off the Land“. Dabei nutzen Kriminelle legale und digital signierte Anwendungen, um unentdeckt zu bleiben. Statt eigener Schadsoftware, die leicht erkannt wird, tricksen sie Anwender aus, weit verbreitete Remote Monitoring and Management (RMM)-Tools zu installieren. So tarnen sie sich im normalen IT-Administrationsverkehr. Für Unternehmen, die auf diese Tools für echte Support-Zwecke angewiesen sind, wird die Unterscheidung zwischen Freund und Feind damit immer schwieriger.

Die Screensaver-Falle: Ein tückischer neuer Angriffsweg

Eine besonders hinterhältige Spear-Phishing-Kampagne, die Sicherheitsanalysten in den letzten 72 Stunden identifizierten, nutzt einen oft übersehenen Dateityp: Windows-Screensaver (.scr-Dateien). Laut Berichten vom 4. und 5. Februar schicken Angreifer geschäftlich getarnte Phishing-Mails. Diese verleiten Mitarbeiter zum Download von Dateien, die als Rechnungen oder Projektzusammenfassungen von Consumer-Cloud-Diensten getarnt sind.

Anzeige

Passend zum Thema Fernwartungs‑Missbrauch: Viele Unternehmen unterschätzen neue Social‑Engineering‑Tricks wie präparierte .scr‑Screensaver oder gefälschte Voicemail‑Benachrichtigungen. Der kostenlose Cyber‑Security‑Report erläutert die aktuellsten Angriffswege — einschließlich wie legitime RMM‑Tools missbraucht werden — und liefert praxisnahe Sofortmaßnahmen: Application‑Control, Monitoring‑Checks und strukturierte Mitarbeiterschulungen. Ideal für IT‑Verantwortliche, die ihr Netzwerk schnell härten wollen. Jetzt kostenlosen Cyber‑Security‑Report sichern

In Wirklichkeit handelt es sich um ausführbare Screensaver. Öffnet ein ahnungsloser Nutzer die Datei, installiert sie lautlos ein legales RMM-Tool wie SimpleHelp – ohne weitere Nachfrage. Da .scr-Dateien wie .exe-Programme beliebigen Code ausführen können, ist dieser Angriffsweg effektiv. Viele Sicherheitssysteme blockieren Screensaver-Dateien nicht, und Nutzer kennen das Risiko nicht. Ist die Software installiert, baut sie eine Verbindung zur Infrastruktur der Angreifer auf. Diese erhalten so langfristigen Fernzugriff für Datendiebstahl oder Ransomware-Angriffe.

Social Engineering setzt auf vertrauenswürdige Software

Parallel zur Screensaver-Kampagne zeigt eine weitere Angriffsserie vom 5. Februar, wie reines Social Engineering zum Ziel führt. Hier locken gefälschte Voicemail-Benachrichtigungen in E-Mails mit bankähnlichen Subdomains die Opfer in die Falle. Der Nutzer wird durch einen scheinbar routinemäßigen Prozess geleitet, der ihn dazu bringt, der Installation eines legalen Fernwartungstools wie Remotely RMM zuzustimmen.

Diese Technik umgeht Sicherheitssoftware geschickt, da sie keine Schwachstellen ausnutzt. Die gesamte Infektionskette hängt davon ab, den Nutzer zur Zustimmung zu manipulieren. Durch die Nutzung eines legitimen Tools lösen die Angreifer seltener Endpoint-Security-Alarme aus. Die Software selbst ist nicht bösartig – sie wird nur für bösartige Zwecke verwendet. Diese Unterscheidung stellt viele automatisierte Abwehrsysteme vor große Probleme.

Teil eines größeren Trends: Der Missbrauch legaler Tools

Diese jüngsten Vorfälle sind Teil eines gut dokumentierten Musters. Experten stellten am 5. Februar fest, dass der Missbrauch legaler Fernzugriffstools in Phishing-Kampagnen stark zugenommen hat. Angreifer bevorzugen diese Tools, weil sie oft gültige digitale Signaturen besitzen und ihr Netzwerkverkehr mit normaler Administrationsaktivität verschmilzt.

Ein Bericht vom 4. Februar zeigt zudem, wie einige anfällige Hosting-Provider legale Virtualisierungs-Infrastrukturen missbrauchen, um Cyberkriminelle mit Ressourcen zu versorgen. Dazu gehört der Einsatz von Remote Access Trojans wie NetSupport RAT, der mit verschiedenen Ransomware-Gruppen in Verbindung steht. Diese Infrastruktur erleichtert es den Tätern, ihre Kampagnen zu skalieren und viele kompromittierte Systeme mit minimalem Aufwand zu verwalten.

Die Herausforderung für die IT-Sicherheit

Der zunehmende Einsatz legaler RMM-Tools stellt Verteidigungsteams vor eine gewaltige Aufgabe. Wenn Angreifer ein Tool nutzen, das auch die eigene IT-Abteilung verwendet, wird die Unterscheidung zwischen legitimem und bösartigem Gebrauch fast unmöglich – ohne fortgeschrittene Verhaltensüberwachung. Alarme für eine neue RMM-Installation könnten als Routine-Supportaktion abgetan werden. So können Angreifer unbemerkt Persistenz herstellen, Netzwerke auskundschaften und Daten abfließen lassen, bevor sie einen finalen Angriff wie Ransomware starten.

Als Reaktion fordern Sicherheitsforscher eine strengere Sicherheitspolitik für Fernwartungssoftware. Zu den Empfehlungen gehören:
* Screensaver-Dateien als hochriskante ausführbare Dateien zu behandeln.
* Application-Control-Lösungen zu nutzen, um deren Ausführung von nicht genehmigten Quellen zu blockieren.
* Eine strikte Positivliste für genehmigte RMM-Tools zu pflegen.
* Monitoring-Systeme so zu konfigurieren, dass sie bei nicht autorisierten Installationen hohe Prioritätsalarme auslösen.
* Kontinuierliche Mitarbeiterschulungen zur Erkennung raffinierter Social-Engineering-Angriffe.

Anzeige

PS: Sie möchten Angriffe wie präparierte Screensaver und RMM‑Missbrauch effektiv verhindern? Holen Sie sich den praxisorientierten Gratis‑Guide „Cyber Security Awareness Trends“: Konkrete 4‑Schritte‑Empfehlungen zur Phishing‑Abwehr, Checklisten für Incident‑Monitoring und leicht umsetzbare Hardening‑Tipps — ideal für KMU und IT‑Teams mit begrenztem Budget. Gratis Cyber‑Security‑Leitfaden herunterladen

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.