In der IT-Sicherheit heißt es oft: „Trau keiner Datei, die du nicht selbst erstellt hast.“ Das gilt heute mehr denn je. Eine neue Angriffsmethode sorgt derzeit für Aufmerksamkeit – manipulierte Dateien, die wie harmlose PDFs wirken, aber in Wirklichkeit ganze Datenträger-Images oder sogar virtuelle Festplatten enthalten. Aktuell gibt es eine weitere, besonders perfide Phishing-Kampagne. Die Angreifer tarnen dabei ihre Malware als gewöhnliches PDF-Dokument. Mitarbeiter sind es gewohnt, Bestellungen oder Rechnungen im PDF-Format zu erhalten. Daher ist es sehr wahrscheinlich, dass die schädlichen Dateien geöffnet werden.
Was steckt hinter den „Fake-PDFs“?
Angreifer nutzen dabei einen simplen, aber raffinierten Trick:
Sie geben einer Datei die Endung .pdf, tatsächlich handelt es sich jedoch um ein anderes Format – etwa eine Virtual Hard Disk (VHD), ein komprimiertes Image oder ein Containerformat wie ISO. Öffnet ein Nutzer diese Datei, wird sie je nach Systemkonfiguration nicht im PDF-Viewer, sondern im Explorer oder einer virtuellen Laufwerksumgebung angezeigt – und kann automatisch Scripts oder ausführbare Dateien anstoßen. Oft entsteht der Eindruck, man habe nur ein Dokument geöffnet, in Wirklichkeit wird aber eine Speicherstruktur geladen, die wie eine zusätzliche Festplatte eingebunden wird – ein idealer Ort für versteckte Malware.
Warum ist das so gefährlich?
Solche Tarnmethoden umgehen klassische Schutzmechanismen:
-
Antivirus-Scanner prüfen häufig nur den Header der Datei – wenn der Dateiname .pdf trägt, erfolgt oft keine tiefere Analyse.
-
In Cloud-Umgebungen (z. B. M365 oder Google Workspace) werden bestimmte Container-Typen standardmäßig als sichere Dokumente behandelt.
-
Nutzer sehen keine Warnung, weil sie glauben, ein bekanntes Dateiformat zu öffnen.
Das Ergebnis: Schadsoftware kann sich unbemerkt auf dem System installieren oder Anmeldedaten abgreifen, sobald der manipulierte „Datenträger“ eingebunden wird.
Wie kann man sich schützen?
-
Dateiendungen anzeigen: In Windows unbedingt aktivieren, damit aus „Rechnung.pdf“ nicht heimlich „Rechnung.pdf.vhd“ wird.
-
Dateigröße prüfen: Eine echte PDF liegt meist im Kilobyte- oder niedrigen Megabyte-Bereich. Wenn die Datei plötzlich 200 MB groß ist, sollte man skeptisch werden.
-
Sandbox-Analyse nutzen: Dateien zunächst in einer isolierten Umgebung (z. B. Windows Sandbox oder einer VM) öffnen.
-
E-Mail-Schutz aktivieren: Moderne Security-Gateways erkennen versteckte Container, wenn sie tiefenscannen dürfen.
-
Awareness-Schulungen: Mitarbeiter sollten wissen, dass eine PDF-Datei nicht automatisch harmlos ist.
Fazit
Diese neue Masche zeigt, wie kreativ Cyberkriminelle werden, um Sicherheitsmechanismen zu umgehen. Ob gefälschte PDFs, getarnte Images oder manipulierte Cloud-Dateien – entscheidend bleibt die Kombination aus technischer Schutzmaßnahme und gesundem Misstrauen.
Wer die kleinen Anzeichen erkennt, kann großen Schaden vermeiden.