Cyberangriffe: Cyberkriminelle setzen auf Powershell und PyInstaller

Sicherheitsbedrohungen Cyberangriffe: Cyberkriminelle setzen auf Powershell und PyInstaller

03.03.2025 Verantwortliche:r Redakteur:in: Stefan Girschner 3 min Lesedauer

Anbieter zum Thema

Die aktuelle Bedrohungsanalyse von G Data CyberDefense zeigt, dass Ransomware weiterhin eine große Gefahr bleibt. Gleichzeitig setzen Cyberkriminelle bei ihren Angriffen verstärkt auf Powershell und PyInstaller. Aber auch Schwachstellen sind ein beliebter Vektor für Cyberangriffe.

Auch wenn Ermittlungsbehörden 2024 die Infrastrukturen von Cyberkriminellen zerschlagen haben, etwa bei der Operation „Endgame“ oder „Power Off“, finden diese immer wieder Mittel und Wege, um IT-Systeme zu infiltrieren. Dazu braucht es keine neue Schadsoftware. Sie entwickeln bestehende Angriffswerkzeuge weiter und kombinieren verschiedene Tools miteinander. Die Experten von G Data CyberDefense haben aktuelle Bedrohungsdaten ausgewertet. Die Analyse zeigt, dass Angriffsvektoren wie etwa Information-Stealer rückläufig sind.

Nutzung verschiedener Wege für Cyberangriffe

PowerShell-Angriffe sind um 127 Prozent gestiegen. Insbesondere SocGholish und ChromeLoader wurden im vergangenen Jahr sehr häufig von Cyberkriminellen eingesetzt. SocGholish, auch bekannt als FakeUpdates, ist seit 2017 bei mehreren Cybercrime-Gruppen im Einsatz. Bei der Malware handelt es sich um einen Downloader, der über HTTP kommuniziert. Dabei tarnt sich die schädliche Software als gefälschtes Browser-Update.

ChromeLoader ist ein hartnäckiger Browser-Hijacker, der die Einstellungen des betroffenen Browsers verändert und den Internetverkehr auf Werbeseiten umleitet. Dabei tarnt sich die Malware als Browser-Erweiterung. Sie verbreitet sich über eine ISO-Datei, die sich als gecracktes Videospiel, raubkopierter Film oder Serie ausgibt, um Nutzer zum Öffnen der Datei zu verleiten.

Angriffe mit Python haben sich mehr als versechsfacht. Dabei setzen Angreifer auf PyInstaller-basierte Malware, die Dateien von Python zu EXE konvertiert. Ein Grund für die große Beliebtheit: Es ist einfach, Code in PyInstaller zu schreiben. Besonders verbreitet ist ChromePyJacker – eine Malware, die sich in Chrome einnistet, um Werbung nachzuladen.

Exploit-basierte Angriffe sind um 110 Prozent gestiegen. Dabei nutzen Cyberkriminelle Sicherheitslücken in Betriebssystemen und Anwendungen aus, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. Auffällig ist, dass Exploits immer noch für Cyberangriffe ausgenutzt werden, die schon mehrere Jahre alt sind und für die Patches zu Verfügung stehen, etwa in Microsoft Office. Kriminelle verlassen sich hier darauf, dass wichtige Sicherheits-Updates nicht installiert wurden.

Tim Berghoff ist Security Evangelist bei G Data CyberDefense AG.(Bild: G Data CyberDefense) — Tim Berghoff ist Security Evangelist bei G Data CyberDefense AG.
(Bild: G Data CyberDefense)

Tim Berghoff, Security Evangelist bei der G Data CyberDefense AG, kommentiert: „Die häufigste Angriffsart erfassen die Zahlen nicht. Der Mensch steht bei vielen Angriffsversuchen im Mittelpunkt. Cyberkriminelle greifen verstärkt auf psychologische Tricks zurück, um Angriffe erfolgreich durchzuführen. Viele Systeme sind sicherer geworden und der technische Weg reicht oft nicht mehr aus, um Systeme zu infiltrieren.“

Cyberangriffe: Malware-Top-10 im Jahr 2024

Stark verändert haben sich die Malware-Top-10 im Vergleich zum Jahr 2023: Insgesamt fünf der zehn häufigsten Malware-Familien sind neu auf den vorderen Plätzen. Außerdem sind in diesem Ranking viele verschiedene Malware-Arten vertreten. Wie in den Vorjahren finden sich unter den zehn häufigsten Malware-Familien einige alte Bekannte sowie Neueinsteiger.

Für Cyberangriffe werden vor allem Python, Exploits und Powershell verwendet.(Bild: G Data CyberDefense) — Für Cyberangriffe werden vor allem Python, Exploits und Powershell verwendet.
(Bild: G Data CyberDefense)

Den Spitzenplatz übernimmt dieses Mal Urelas – ein Trojaner für Datendiebstahl und Spionage. Er zielt auf Windows-Betriebssysteme ab und zeichnet sich durch ausgefeilte Verschleierungstechniken aus, die seine Erkennung und Analyse erschweren. Der Neueinsteiger Gamarue verbreitet sich als Wurm über mobile Speichermedien wie etwa USB-Sticks und nutzt dafür Verknüpfungsdateien unter Windows. Auf Platz drei findet sich mit Imperium ein weiterer Neuzugang. Die Besonderheit des Stealers und Keyloggers: Er ist metamorph und verändert kontinuierlich den eigenen Code. Zudem ist metamorphe Malware in der Lage, den inneren Aufbau bei jeder neuen Infektion eines Computersystems vollständig umzuwandeln.

Waren in den Vorjahren insbesondere Remote Access Trojaner mehrfach in den Top 10 vertreten, zeigt sich für 2024 ein vielfältiges Bild mit ganz unterschiedlichen Malware-Arten wie Backdoors, Stealer oder Botnets. Eine Erklärung für das Ranking: Angreifer kombinieren verschiedene Schadsoftwares miteinander, um den Profit zu steigern. Eine weitere Auffälligkeit: Einige Malware-Familien sind schon sehr lange aktiv, wie etwa Buterat (seit 2011) oder Salgorea (seit 2018). Das ist ein Zeichen dafür, dass Entwickler der Malware die Schadsoftware stetig weiterentwickeln.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 16.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Technologie allein schützt Unternehmen nicht

Die aktuelle Bedrohungsanalyse zeigt, dass Schutztechnologien den Grundstein für einen umfassenden IT-Schutz darstellen. Aber es braucht auch aufmerksame Angestellte, um Angriffsversuche via Social Engineering oder per Phishing zu erkennen. Das Bewusstsein für Cybergefahren lässt sich mittels Security Awareness Training stärken. Ebenso wichtig ist eine Strategie für einen Incident. Mit einem Notfallplan in der Hinterhand sind Unternehmen deutlich schneller wieder handlungsfähig.