Bitdefender
Cyberkriminelle nutzen den Iran-Krieg für Malware-infizierte Geschäftskommunikation.
Bitdefender beobachten seit 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen USA, Iran und Israel, einen deutlichen Anstieg von Malware-Kampagnen in der Golf-Region. Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation.
Zusammenfassung (TL; DR):
- Opportunistische Cyberkriminalität nimmt seit 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen USA, Iran und Israel, in Echtzeit zu.
- Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation.
- Hacker nutzten dabei verschiedene Angriffstechniken wie etwa Java-basierte Remote-Access-Trojaner (etwa der STRRAT-Familie) oder mehrstufige Fileless-Angriffe mit PowerShell.
Bitdefender beobachten seit 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen USA, Iran und Israel, einen deutlichen Anstieg von Malware-Kampagnen in der Golf-Region. Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation. Die Inhalte der eher opportunistisch motivierten Mails beziehen sich häufig auf geschäftliche Abläufe wie Rechnungen, Verträgen, finanzielle Angelegenheiten und Lieferungen.
Die Phishing-Kampagnen lassen sich in diesem Stadium des Konflikts keiner Gruppierung mit staatlichem Hintergrund zuschreiben. Die Golfregion ist durch ihre Rolle als Umschlagplatz für Finanzen und Kraftstoffe sowie als Schaltzentrale für globale wirtschaftliche Netzwerke, Projekte und internationalen Handel ein attraktives Ziel für cyberkriminelle Trittbrettfahrer.
Anstieg beweist, wie Hacker kurzfristig Kampagnen anpassen
Das Aufkommen bösartiger Korrespondenzen überschritt an Spitzentagen das Volumen vor Beginn der Auseinandersetzungen um das Vierfache. Der schnelle Anstieg beweist, wie Hacker kurzfristig ihre Kampagnen zum Ausspielen von Malware an aktuelle Ereignisse in einer Region anpassen können. Dabei nutzen sie opportunistisch auch geschäftliche Themen als Aufhänger: Es geht scheinbar darum, Kredite zu genehmigen, Garantien einzuhalten oder finanziellen Arrangements zuzustimmen. Weitere Anlässe für die Trittbrettfahrer sind Nachrichten über ausbleibende Lieferungen. Hacker bitten dann mit hoher Dringlichkeit um ein Tracking oder Aktionen zur Freigabe der Ware.
Hacker nutzten dabei verschiedene Angriffstechniken wie etwa Java-basierte Remote-Access-Trojaner (etwa der STRRAT-Familie) oder mehrstufige Fileless-Angriffe mit PowerShell. Das Ausspielen der Malware erfolgt in den analysierten Fällen über angebliche Rechnungen als infizierte Anhänge. In anderen Fällen zeigt die Malware eine grafische Nutzeroberfläche an, welche das schädliche Tool als legitime Java-Utility oder Software-Tool tarnt. Eine persistente, dauerhafte Präsenz im Opfersystem sichert sich die Malware, indem sie eine alle dreißig Minuten auszuführende Task „Skype“ anlegt. In anderen Beispielen platzieren Hacker ihre Malware im Autostart-Ordner, so dass die Schadsoftware mit jedem Hochfahren des Rechners ihre Tätigkeit neu aufnimmt.
Nutzer können sich schützen, indem sie
- unerwartete Anhänge kritisch prüfen,
- E-Mail-Anhängen nicht aufgrund formaler Kriterien, wie einer legitimen Dateierweiterung (.eml, .jar, .rar oder etwa .hta), vertrauen,
- Zip-Archive von unbekannten Quellen nicht akzeptieren,
- Links vor dem Klicken überprüfen,
- finanzielle und rechtliche Anfragen unabhängig überprüfen sowie
- ihre IT regelmäßig aktualisieren und Lösungen zur Cybersicherheit nutzen.
