Eine raffinierte Phishing-Kampagne zielt aktuell auf Unternehmen und Behörden in Mittel- und Osteuropa. Was die Attacke besonders gefährlich macht: Die Angreifer nutzen HTML-Anhänge statt klassischer Links und leiten erbeutete Zugangsdaten über Telegram ab – vorbei an herkömmlichen Sicherheitssystemen.

Cybersecurity-Forscher von Cyble Research and Intelligence Labs (CRIL) schlagen Alarm. Ihr heute veröffentlichter Bericht zeigt: Die Täter imitieren bekannte Marken wie Adobe, WeTransfer und FedEx, um Opfer zur Preisgabe sensibler Login-Daten zu bewegen. Die Methode ist ebenso simpel wie effektiv – und repräsentiert einen besorgniserregenden Trend im europäischen Cybercrime-Ökosystem.

Im Fokus der Angreifer stehen vor allem Organisationen in Tschechien, der Slowakei, Ungarn und Deutschland. Betroffen sind lokale Unternehmen, Vertriebsfirmen, Hotels sowie Behörden, die regelmäßig Lieferantenanfragen und Ausschreibungen bearbeiten. Könnte Ihr Unternehmen das nächste Ziel sein?

HTML-Anhänge als trojanisches Pferd

Der Clou der Kampagne: Statt verdächtige Links in E-Mails einzubauen, verstecken die Kriminellen ihren Schadcode in HTML-Dateien. Diese Anhänge rutschen problemlos durch Standard-Sicherheitsgateways, die hauptsächlich auf gefährliche URLs programmiert sind.

Die Social-Engineering-Taktik passt sich präzise ans Zielpublikum an. Geschäftskunden erhalten vermeintliche Angebotsanfragen oder Rechnungsbestätigungen. Privatnutzer bekommen E-Mails über freigegebene Dokumente oder Paketsendungen. Öffnet das Opfer den HTML-Anhang, startet JavaScript-Code direkt im Browser – und zaubert ein täuschend echtes Login-Portal der imitierten Marke auf den Bildschirm.

Nach MITRE ATT&CK-Framework fällt diese Methode unter "Spearphishing Attachment" (T1566.001). Sobald der Nutzer seine Daten eingibt, aktiviert sich die nächste Stufe: die Datenexfiltration.

Telegram als Datendieb

Hier wird es besonders clever: Die gestohlenen Zugangsdaten landen nicht auf einem klassischen Command-and-Control-Server, der leicht zu blockieren wäre. Stattdessen schleust der eingebettete JavaScript-Code die Informationen direkt an Telegram-Bots der Angreifer.

Diese Methode ist hocheffizient. Da sie legitime Infrastruktur nutzt – nämlich Telegrams API – bleibt der bösartige Datenverkehr weitgehend unsichtbar. CRIL entdeckte ein dezentrales Netzwerk aus Telegram-Bots, gesteuert von mehreren Akteuren. Ein Bot-Token wurde beispielsweise durchgehend für FedEx-Imitationen eingesetzt, ein anderer für Adobe- und WeTransfer-Attacken.

Das Missbrauchen vertrauenswürdiger Dienste für kriminelle Zwecke zeigt: Cyberkriminelle denken zunehmend wie reguläre Geschäftsleute – nur eben auf der dunklen Seite.

Europa im Visier: Die industrialisierte Cybercrime-Maschine

Diese Kampagne steht nicht isoliert da. Sie ist Symptom einer wachsenden Bedrohung für den gesamten Kontinent. Die EU-Agentur für Cybersicherheit (ENISA) bestätigte kürzlich: Phishing ist in 60 Prozent aller Fälle die primäre Einstiegsmethode. Die Behörde warnt vor einer "Industrialisierung" der Cyberkriminalität durch Plattformen wie Phishing-as-a-Service (PhaaS).

Ein aktueller CrowdStrike-Bericht vom 3. November unterstreicht die Dimension: Europa ist global das zweitgrößte Ziel für eCrime und macht fast 22 Prozent aller Ransomware- und Erpressungsopfer aus. Untergrund-Marktplätze verkaufen mittlerweile fertige Phishing-Kits wie Software-Lizenzen.

Ein weiteres Beispiel: Die seit April 2025 aktive Kampagne "I Paid Twice" nutzt gehackte Booking.com-Hotelkonten, um Gäste zu betrügerischen Zahlungen zu verleiten. Laut einem Bericht von Sekoia vom 7. November geben sich die Kriminellen als Hotelpersonal aus und versenden überzeugende Zahlungsaufforderungen an Kunden mit echten Reservierungsdaten.

Taktikwechsel: Leben vom Land der Legitimen

Der Einsatz von HTML-Anhängen und der Telegram-API markiert eine taktische Neuausrichtung. Während Unternehmen ihre URL-Filter verbessern, verlagern Angreifer die Schadfunktion in scheinbar harmlose Anhänge. Die Nutzung von Telegram für Datenexfiltration ist ein geschickter Missbrauch legitimer Services – Experten nennen das "Living off the Land".

Diese Technik lässt bösartigen Traffic mit normalem Netzwerkverkehr verschmelzen. Verantwortlich für diese Entwicklung ist ein florierendes Cybercrime-Ökosystem. Die Kommerzialisierung von Angriffswerkzeugen in Untergrundforen ermöglicht selbst mäßig qualifizierten Akteuren den Start ausgefeilter Multi-Brand-Kampagnen.

Das "as-a-Service"-Modell macht Attacken skalierbar und schnell anpassbar – perfekt zugeschnitten auf spezifische Regionen oder Branchen, wie diese Kampagne in Mittel- und Osteuropa zeigt.

Schutzmaßnahmen: Mehrschichtige Verteidigung ist Pflicht

Sicherheitsexperten erwarten, dass Angreifer ihre Methoden weiter verfeinern werden. Der verstärkte Einsatz von KI zur Erstellung überzeugender Phishing-Köder steht bereits am Horizont. Organisationen müssen reagieren – mit mehrschichtigen Abwehrstrategien.

ENISA und andere Cybersecurity-Institutionen empfehlen folgende Kernmaßnahmen:

Multi-Faktor-Authentifizierung (MFA): Dies bleibt die wirksamste Kontrolle gegen Credential-Diebstahl. Selbst gestohlene Passwörter werden so wertlos.

Erweiterte E-Mail-Sicherheit: E-Mail-Gateways sollten auch HTML-Dateien gründlich prüfen. Sandboxing-Technologie analysiert Anhänge in sicherer Umgebung, bevor sie den Empfänger erreichen.

Mitarbeiterschulung: Nutzer müssen Phishing-Anzeichen erkennen lernen – unerwartete Anhänge, Zugangsdaten-Anfragen – und verdächtige E-Mails sofort melden.

Prinzip der geringsten Privilegien: Beschränkte Kontoberechtigungen begrenzen die Schadensmöglichkeiten, selbst wenn ein Account kompromittiert wird.

Diese Kampagne führt es vor Augen: Die Phishing-Bedrohung ist hartnäckig und anpassungsfähig. Nur die Kombination aus fortschrittlicher Sicherheitstechnologie und wachsamen, geschulten Mitarbeitern schützt effektiv vor diesen sich ständig weiterentwickelnden Cyber-Bedrohungen.