KI-Tools und Datenlecks befeuern neue Phishing-Welle

Die Zeit bis zur Ausnutzung neuer Schwachstellen schrumpft auf einen Tag.**

Cybersicherheitsforscher verzeichnen eine alarmierende Zunahme ausgeklügelter Phishing-Kampagnen. Diese Attacken machen sich legitime Fernwartungssoftware zunutze und exploitieren jüngste, prominente Datenlecks. Die seit Mitte April 2026 dokumentierten Operationen setzen zunehmend auf Künstliche Intelligenz, um die Entdeckung von Schwachstellen und die Erstellung täuschend echter Köder zu beschleunigen. Von gefälschten Versandbenachrichtigungen bis zu fingierten Urheberrechtsansprüchen setzen Angreifer auf "Exposure Management", während traditionelle Sicherheitsframeworks mit der automatisierten Exploit-Generierung nicht Schritt halten können.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam in 4 Schritten schützen kann. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Legitime Software als trojanisches Pferd

Eine besonders dreiste Phishing-Kampagne, die heute, am 17. April 2026, entdeckt wurde, nutzt gefälschte DHL-Versandbenachrichtigungen, um Fernzugriffstools zu verbreiten. Laut Sicherheitsanalysten beginnt der Angriff mit einer E-Mail, die den Empfang einer Sendung vortäuscht. Der Empfänger wird aufgefordert, ein angehängtes PDF mit dem Titel AWB-Doc0921.pdf zu öffnen. Dieses Dokument enthält einen Button, der beim Anklicken ein ausführbares Skript von der kompromittierten Domain longhungphatlogistics[.]vn herunterlädt.

Die Schadsoftware ist ein modifizierter, signierter Installer für SimpleHelp – ein eigentlich legitimes Fernwartungstool. Durch die Verwendung signierter Installer umgehen die Angreifer oft traditionelle Sicherheitsfilter, die unsignierte Malware blockieren. Nach der Installation erhalten die Täter vollen Fernzugriff auf das System des Opfers. Dies ermöglicht Spionage, die Bewegung innerhalb von Firmennetzwerken und die Installation weiterer Schadprogramme.

In einer parallelen Entwicklung wurde gestern, am 16. April, eine neue Malware-Kampagne mit dem Namen NWHStealer gemeldet. Diese Operation verteilt einen Informationsdieb über gefälschte Websites, die als Proton-VPN-Spiegel oder Gaming-Mod-Repositories getarnt sind. Die Malware stiehlt im Browser gespeicherte Passwörter, Informationen aus Kryptowährungs-Wallets und Autofill-Daten von Chrome, Edge und Firefox. Um auf infizierten Systemen zu verbleiben, nutzt NWHStealer Windows-Defender-Ausnahmen und richtet persistente geplante Tasks ein.

Hyperrealistische Betrügereien dank massiver Datenlecks

Die Wirksamkeit dieser E-Mail-Betrügereien wurde durch jüngste Datendiebstähle erheblich gesteigert. Heute bestätigten Berichte ein massives Datenleck bei Booking.com. Die gestohlenen Informationen umfassen Namen von Reisenden, Reservierungsdetails, E-Mail-Adressen und Telefonnummern. Sicherheitsexperten beobachten bereits, dass Angreifer diese spezifischen Buchungsdaten für hyperrealistische Phishing-Angriffe nutzen. Indem sie echte Check-in-Daten und Hotelnamen erwähnen, kontaktieren Betrüger ihre Opfer über WhatsApp und E-Mail und überzeugen sie, Zahlungsinformationen über gefälschte Links preiszugeben.

Gleichzeitig tauchte Mitte April eine neue Phishing-Kampagne auf, die YouTube-Content-Creator ins Visier nimmt. Diese E-Mails geben sich als Urheberrechtsabteilung von YouTube aus und versenden gefälschte Verstoßwarnungen, um Nutzer zur Herausgabe ihrer Google-Konto-Zugangsdaten zu bringen. Diese spezialisierten Köder sind Teil eines breiteren Trends: Angreifer nutzen plattformspezifische Metadaten, um die Erfolgsquote beim Diebstahl von Zugangsdaten zu erhöhen.

Das Volumen solcher Vorfälle hat Rekordniveau erreicht. Berichten zufolge gab es in den ersten 16 Tagen des April 2026 allein über 100 bestätigte Datenlecks. Betroffen waren Einrichtungen von Gesundheitsdienstleistern wie Friendly Care bis hin zu Großkonzernen wie Starbucks und Rockstar Games. Etwa 40 Prozent der Code-Änderungen in diesen kompromittierten Umgebungen wurden als KI-generiert identifiziert. Das legt nahe, dass Schwachstellen in KI-geschriebenem Code zu einem primären Einfallstor für Hacker werden.

KI beschleunigt die Schwachstellenjagd

Die Geschwindigkeit, mit der Angreifer neue Fehler ausnutzen können, hat durch fortschrittliche KI-Modelle zugenommen. Das von Anthropic Anfang des Monats am 7. April 2026 angekündigte Modell Claude Mythos hat demonstriert, dass es Schwachstellen in Minuten finden und exploitieren kann. In internen Tests identifizierte das Modell 181 funktionale Exploits für den Firefox-Browser und entdeckte langjährige Fehler in kritischer Software – darunter einen 27 Jahre alten Bug in OpenBSD.

Als Reaktion auf diese Entwicklung veröffentlichte OpenAI gestern, am 16. April, GPT-5.4-Cyber. Dieses Modell ist speziell für Cybersicherheitsaufgaben optimiert, einschließlich Binärcodeanalyse und defensiver Überprüfung. Zwar hat OpenAI ein "Trusted Access for Cyber"-Programm eingeführt, um die Nutzung auf verifizierte Forscher und Verteidiger zu beschränken. Doch die Existenz solch mächtiger Tools hat die Bedrohungslage grundlegend verändert.

Die "Mean Time-to-Exploit" – die durchschnittliche Zeit zwischen der Entdeckung eines Fehlers und seiner aktiven Ausnutzung – ist von über einem Jahr im Jahr 2021 auf nur noch einen Tag Anfang 2026 gesunken. Branchenanalysten von CrowdStrike meldeten einen jährlichen Anstieg von 42 Prozent bei Zero-Day-Exploits, die noch vor der öffentlichen Bekanntgabe genutzt werden. Diese Verschiebung zeigt sich exemplarisch an der jüngsten Entdeckung einer kritischen Remote-Code-Ausführungsschwachstelle in Apache ActiveMQ (CVE-2026-34197), die mit Hilfe eines großen Sprachmodells identifiziert wurde.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich proaktiv und kostengünstig schützen. Gratis E-Book: Cyber Security Trends herunterladen

Infrastruktur unter Druck und regulatorische Reaktionen

Das schiere Volumen neuer Schwachstellen überfordert etablierte Aufsichtsbehörden. Das US-amerikanische National Institute of Standards and Technology (NIST) gab heute bekannt, dass es die Anreicherung von Einträgen in der National Vulnerability Database (NVD) einschränken wird. Die Einreichungen in die Datenbank stiegen zwischen 2020 und 2025 um 263 Prozent. Die Einreichungen im ersten Quartal 2026 lagen ein Drittel höher als im Vorjahreszeitraum. Folglich wird NIST nun nur noch Schwachstellen priorisieren, die im "Known Exploited Vulnerabilities"-Katalog der Cybersecurity and Infrastructure Security Agency (CISA) gelistet sind oder kritische Infrastrukturen betreffen.

Als Antwort auf diese systemischen Risiken beginnen Finanzregulierer, neue Sicherheitsmaßnahmen umzusetzen. Die Bank of England bestätigte heute, dass sie "Stresstests" durchführen will, um zu bewerten, wie KI-Agenten korrelierte Risiken auf den Finanzmärkten verursachen könnten. In Großbritannien wurde Banken kontrollierter Zugang zu Modellen wie Claude Mythos gewährt, um Risiken in ihrer Software-Lieferkette zu identifizieren.

Ausblick: Von Patch-Management zu Exposure Management

Da KI den Lebenszyklus der Ausnutzung weiter automatisiert, bewegt sich die Cybersicherheitsbranche weg vom traditionellen Patch-Management hin zu umfassendem Exposure Management. CISA hat bereits angeordnet, dass US-Bundesbehörden die kritische Apache-ActiveMQ-Schwachstelle bis zum 30. April 2026 schließen müssen – ein Zeichen für die Dringlichkeit der aktuellen Bedrohungslage.

Verteidigungsunternehmen setzen zunehmend "agentische KI"-Suites wie Forescouts VistaroAI ein, um die Reaktion auf Vorfälle und die Analyse von Bedrohungsinformationen zu automatisieren. Experten warnen jedoch, dass die Lücke zwischen Investition und erfolgreicher Umsetzung eine Herausforderung bleibt. Da KI-Modelle nun in der Lage sind, autonom Exploits zu generieren, wird sich der Fokus der Unternehmenssicherheit voraussichtlich auf die Analyse von Angriffspfaden und die schnelle Beseitigung der am stärksten gefährdeten Assets verlagern – und nicht auf den Versuch, jede identifizierte Schwachstelle zu beheben.

de | boerse | 69183806 |