Microsoft hat eine Malware-Kampagne beobachtet, bei der Angreifer VBS-Dateien (Visual Basic Script) in WhatsApp-Nachrichten versenden. Führen Opfer diese aus, löst das eine mehrstufige Infektionskette aus, an deren Ende die Angreifer Fernzugriff erhalten und sich im System einnisten. Besonders gefährdet sind Nutzer und Nutzerinnen der WhatsApp-Desktop-Version unter Windows, da die bösartigen Skripte sich dort ohne Umwege ausführen lassen.

In einem Blog-Beitrag warnt das Microsoft-Defender-Securityteam vor dieser Kampagne, die Ende Februar ihren Anfang nahm. Die Angreifer setzen dazu auf Social Engineering und sogenannte „Living-off-the-land“-Techniken (auch unter dem Kürzel „LOLbins“ bekannt), nutzen also vom Betriebssystem mitgelieferte ausführbare Dateien für den Angriff. Die am Ende installierte Malware im MSI-Format (Microsoft Installer) kommt schließlich aus der Cloud.

WhatsApp als Einstiegspunkt der Angriffskette

Beispiele von beobachteten Nachrichten nennen die IT-Forensiker nicht, erklären jedoch, dass die bösartigen VBS-Dateien als WhatsApp-Nachrichten bei den Opfern landen und somit das Vertrauen in die bekannte Kommunikationsplattform missbraucht werde. Bei der Ausführung legt das Skript versteckte Ordner unter „C:\ProgramData“ an und speichert dort umbenannte Versionen legitimer Windows-Werkzeuge wie „curl.exe“ – in „netapi.dll“ umbenannt – oder „bitsadmin.exe“ als „sc.exe“.

Beim nächsten Schritt lädt die Malware mit den umbenannten Binärdateien weitere Dropper wie „auxs.vbs“ und „WinUpdate_KB5034231.vbs“ aus oftmals als vertrauenswürdig eingestuften Cloudspeichern wie AWS S3, der Tencent Cloud oder Backblaze B2 nach. Das verschleiert die bösartigen Aktivitäten als legitimen Netzwerkverkehr, erklären die Microsoft-Mitarbeiter.

Nach dem Herunterladen verändert die Malware Einstellungen der Benutzerkontensteuerung, um durch das Deaktivieren von UAC-Prompts die Verteidigungsmechanismen des Windows-Systems zu schwächen. Es startet wiederholt die Eingabeaufforderung „cmd.exe“ mit erhöhten Rechten, bis die Rechteerhöhung funktioniert hat oder der Prozess gewaltsam abgebrochen wurde. Durch Veränderungen von Registry-Einträgen unter „HKLM\Software\Microsoft\Win“ verankert sich der Schadcode und erreicht Persistenz über Reboots hinweg.

Die darauffolgende letzte Stufe lädt unsignierte MSI-Installer mit Namen wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi nach. Die enthalten Fernsteuerungssoftware wie AnyDesk und ermöglichen Angreifern nachhaltigen Fernzugriff zum Ausleiten von Daten, Installieren weiterer Malware oder zum Missbrauch kompromittierter Maschinen als Teil eines größeren Netzwerks infizierter Geräte, führen die Analysten aus. Insbesondere in Unternehmensumgebungen sind solche MSI-Installer für die Softwareverwaltung typisch und sollen so unter dem Radar bleiben.

Interessierte finden in der Analyse Tipps und Hinweise, wie IT-Verantwortliche ihre Netzwerke vor solchen Angriffen schützen können. Dazu gehört das Blockieren von Scripting-Hosts auf Endpoints oder die Überwachung von Cloud-Traffic, aber auch die Mitarbeitersensibilisierung.

Nutzer und Nutzerinnen von populären Messengern, insbesondere herausragende Persönlichkeiten oder höherrangige Beamte und Politiker, stehen in jüngerer Zeit oftmals im Visier von Angreifern. Etwa Ende vergangenen Jahres haben Cyberkriminelle mit ausgefeilten Social-Engineering-Taktiken versucht, Zugriff auf die Messenger-Apps potenzieller Opfer zu erlangen und diese so auszuspähen. Insbesondere bei Nachrichten von Unbekannten ist daher besondere Vorsicht angebracht.

(dmk)

Auch im vergangenen Jahr haben deutsche Behörden das polizeiliche Gesichtserkennungssystem GES wieder deutlich häufiger genutzt. Mit Abstand vorn liegen die Kriminalämter von Bund und Ländern mit 313.500 Suchläufen – 2024 waren es noch 121.000. Die Bundespolizei nutzte das System rund 30.000 Mal, auch dies ist gegenüber dem Vorjahr eine Zunahme um etwa die Hälfte.

Das 2008 eingerichtete GES liegt physisch beim Bundeskriminalamt (BKA). Offiziell als „Unterstützungswerkzeug“ bezeichnet, soll es helfen, Identitäten von Verdächtigen oder Geschädigten zu verifizieren. Die Abteilung Kriminalwissenschaften und Technik sowie der Zentrale Informations- und Fahndungsdienst betreiben das GES. Dazu wird die INPOL-Datei durchsucht, dort sind derzeit 5,4 Millionen Menschen mit 7,6 Millionen Lichtbildern gespeichert.

Die Technologie ermöglicht den rückwirkenden Abgleich von Bildern aus Überwachungskameras oder Smartphones. Dazu werden die anatomischen Merkmale eines darauf zu erkennenden Gesichts codiert und als sogenanntes Template gespeichert. Ein Suchlauf dauert nicht einmal eine Sekunde, heißt es aus dem Landeskriminalamt (LKA) Niedersachsen. Anschließend erstellt das System eine „Kandidatenliste“, auf der Personen absteigend nach dem Ähnlichkeitswert sortiert sind. Diese Ergebnisse werden anschließend von mindestens zwei Lichtbildexpert*innen verifiziert.

Deutlich mehr identifizierte Personen

Die aktuellen Zahlen stammen aus der Antwort auf eine parlamentarische Anfrage beim Bundesinnenministerium. Sie können aber auch Doppelzählungen beinhalten, beispielsweise wegen wiederholter GES-Abgleiche zu demselben Suchbild oder Mehrfachabgleichen zu einer Videosequenz.

Deutlich zugenommen hat auch die Anzahl der identifizierten Personen. Hier führt die Bundespolizei mit 5.328 „Treffern“ die Liste an – jeder sechste Suchlauf war demnach erfolgreich. Eine Erklärung könnte sein, dass die Bundespolizei das GES hauptsächlich zur Migrationskontrolle bei Einsätzen an den Binnengrenzen nutzt. Mehr als die Hälfte der 5,4 Millionen Gespeicherten in INPOL sind Asylsuchende oder Menschen mit abgelehnten Asylanträgen. Alle anderen sind in der Datei gelandet, weil sie wegen des Verdachts einer Straftat erkennungsdienstlich behandelt worden sind.

Eine nur leichte Steigerung von „Treffern“ verzeichnen die Kriminalämter: 2025 wurden 1.833 Personen mithilfe des GES identifiziert (2024: 1.385, 2023: 1.683). Das ergab eine Abfrage des „nd“ beim Bundesinnenministerium. Die Treffer werden auch als „Hinweise auf Personengleichheit“ bezeichnet.

Erstmals wird in der Antwort auch die Zahl von „Ermittlungshinweisen“ ausgewiesen. Sie erfolgen, wenn kein direkter Treffer, aber eine Ähnlichkeit oder Auffälligkeit gefunden wird. 2025 verdoppelten sich die „Ermittlungshinweise“ an die Kriminalämter demnach auf rund 22.000, bei der Bundespolizei nahmen sie für dasselbe Jahr von rund 4500 auf 6.000 zu.

Abfrage von Gesichtern nun auch mit Handy

Innenministerium und BKA nennen keine Gründe für die deutliche Zunahme von Abfragen und Treffern. Es liegt aber nahe, dass die Einführung eines neuen BKA-Gesichtserkennungssystem mit sogenannter Künstlicher Intelligenz im September 2024 ausschlaggebend ist. Die Fehlerrate soll auf unter ein Prozent gesunken sein, lobte BKA-Chef Holger Münch das System auf der Herbsttagung 2024. Wegen der Automatisierung würden bis Ende 2026 rund 50 Personen aus der Gesichtserkennung in andere Abteilungen versetzt werden: denn manuelle Abgleiche durch BKA-Lichtbildexpert*innen seien abseits der durch die KI-Verordnung nötigen Endkontrollen zunehmend überflüssig.

In den Landeskriminalämtern oder bei der Bundespolizei gibt es die Lichtbildexpert*innen aber weiterhin. Nur sie sind befugt, eigenständig mit dem GES zu arbeiten – nach einem „Einführungslehrgang zu Lichtbildvergleichen“ beim BKA, der zehn Wochen dauert. Diesem BKA-Modul geht eine mindestens vierteljährliche praktische Unterweisung im LKA voraus, erklärt etwa die Landesregierung in Bayern.

Mittlerweile ermöglicht das BKA auch eine Abfrage seines Gesichtserkennungssystems mithilfe einer mobilen Anwendung auf Handys von Polizist*innen. Diese „GES-App“ hat die hessische Polizei entwickelt – in enger technischer Abstimmung mit dem BKA, wie das Bundesinnenministerium in der Antwort auf eine weitere parlamentarische Anfrage der Linksfraktion erklärt.

Mehr rassistische Kontrollen führen zu mehr „Treffern“

Die Fotoabgleiche im BKA-GES bergen die Gefahr, dass bestimmten Personengruppen vermehrt Straftaten zugeschrieben werden. So arbeitet es ein Schwerpunktheft der Zeitschrift „Studien zum Strafrecht“ aus dem vergangenen Jahr heraus. Denn „Treffer“ oder „Ermittlungshinweise“ können nur für Personen erfolgen, die sich in der INPOL-Datei befinden. Verdachtsunabhängig sind darin alle Asylbewerber*innen gespeichert. „Wenn diese Delikte begehen und ein Bild von ihnen vorhanden ist, steigt die Aufklärungswahrscheinlichkeit daher signifikant an“, heißt es in einem Kapitel der Zeitschrift.

Ein ähnliches Problem findet sich bei als ausländisch oder sozioökonomisch schwach wahrgenommenen Personen, die schon jetzt von der Polizei häufiger kontrolliert werden. Diese Kontrollen machen es auch wahrscheinlicher, dass die Person als straftatverdächtig erkennungsdienstlich behandelt wird – und damit in INPOL landet, wo der Datensatz dann bei den jährlich hunderttausenden Abfragen durchsucht wird.

„Vermehrte Kontrollen bei bestimmten Personengruppen führen dann nicht nur dazu, dass diese häufiger bestraft werden, weil bei diesen Kontrollen Straftaten festgestellt werden. Sie werden auch häufiger bestraft, weil in Zukunft strafbares Verhalten ihnen erneut per Gesichtserkennung zugeordnet werden kann“, heißt es dazu in den „Studien zum Strafrecht“.

Am Mittwoch dieser Woche hat der Netzwerkausrüster Cisco neun Sicherheitsmitteilungen veröffentlicht. Sie behandeln zum Teil kritische Schwachstellen in mehreren Produkten des Unternehmens. Admins sollten bereitstehende Aktualisierungen zügig anwenden.

In Ciscos Smart Software Manager On-Prem (SSM On-Prem) können nicht authentifizierte Angreifer aus dem Netz beliebige Befehle ins Betriebssystem des Hosts schleusen und dort ausführen. Ursache ist ein unabsichtlich extern erreichbarer Dienst. Durch das Senden manipulierter Pakete an die API des Dienstes können Angreifer Befehle als root ausführen (CVE-2026-20160, CVSS 9.8, Risiko „kritisch“). Zudem können Angreifer in Ciscos Integrated Management Controller (IMC) die Authentifizierung umgehen. Das liegt an nicht näher erläuterten Fehlern im Verarbeiten von Passwort-Änderungsanfragen. Bösartige Akteure können das mit sorgsam präparierten HTTP-Anfragen ohne vorherige Authentifizierung missbrauchen, um Passwörter beliebiger Nutzer einschließlich „Admin“ zu verändern und damit Zugang zu erlangen (CVE-2026-20093, CVSS 9.8, Risiko „kritisch“).

Weitere hochriskante Cisco-Schwachstellen

Die webbasierte Verwaltungsoberfläche von Ciscos IMC weist zudem mehrere weitere Lücken auf, die angemeldeten Angreifern aus dem Netz das Ausführen beliebigen Codes aus dem Netz oder das Einschleusen von Befehlen ans Betriebssystem sowie die Ausweitung der Rechte zu root ermöglichen (CVE-2026-20094, CVSS 8.8, Risiko „hoch“; CVE-2026-20095, CVE-2026-20096, CVE-2026-20097, alle CVSS 6.5, Risiko „mittel“). Im webbasierten Management-Interface von Ciscos Evolved Programmable Network Manager (EPNM) prüft ein REST-API-Endpunkt die Autorisierung nicht korrekt. Dadurch können angemeldete Nutzer aus dem Netz unbefugt auf sensible Informationen zugreifen (CVE-2026-20155, CVSS 8.0, Risiko „hoch“). Das Web-Interface von Ciscos SSM On-Prem weist zudem eine Rechteausweitungslücke auf. Angemeldete Nutzer können manipulierte Nachrichten an verwundbare SSM-On-Prem-Systeme senden und dadurch Session-Credentials in nachfolgenden Statusnachrichten erlangen; bei erfolgreicher Attacke können sich Angreifer so administrative Rechte verschaffen (CVE-2026-20151, CVSS 7.3, Risiko „hoch“).

Außerdem warnt Cisco vor vier weiteren Sicherheitslecks:

• Cisco Nexus Dashboard Configuration Backup REST API Unauthorized Access Vulnerability (CVE-2026-20042, CVSS 6.5, Risiko „mittel“)
• Cisco Nexus Dashboard and Nexus Dashboard Insights Server-Side Request Forgery Vulnerability (CVE-2026-20041, CVSS 6.1, Risiko „mittel“)
• Cisco Integrated Management Controller Cross-Site Scripting Vulnerabilities (CVE-2026-20085, CVSS 6.1, Risiko „mittel“; CVE-2026-20087, CVE-2026-20088, CVE-2026-20089, CVE-2026-20090, CVSS 4.8, Risiko „mittel“)
• Cisco Nexus Dashboard Insights Arbitrary File Write Vulnerability (CVE-2026-20174, CVSS 4.9, Risiko „mittel“)

Keine der nun gemeldeten Schwachstellen wird bereits ausgenutzt, ergänzt der Netzwerkausrüster in den Sicherheitsmitteilungen.

Cisco ist jüngst angeblich Opfer eines Cyberangriffs geworden. Kriminelle konnten demnach auf Quellcode aus der Entwicklungsabteilung zugreifen. Das war aufgrund eines Lieferkettenangriffs auf die Python-Bibliothek LiteLLM aus der PyPI-Paketverwaltung möglich.

(dmk)