Windows-Screensaver-Dateien als Einfallstor für Hacker

Eine raffinierte Phishing-Kampagne nutzt vermeintlich harmlose Bildschirmschoner-Dateien, um Kontrolle über Windows-Systeme zu erlangen. Deutsche Unternehmen sind alarmiert, denn die Angreifer setzen auf legale Fernwartungssoftware, die kaum Spuren hinterlässt.

Die perfide Masche: .scr-Dateien als Trojaner

Die Gefahr kommt per E-Mail und tarnt sich geschickt. Mitarbeiter erhalten Nachrichten mit geschäftlichen Anhängen wie „Rechnungsdetails.scr“ oder „Projektzusammenfassung.scr“. Die Dateien werden von seriös wirkenden Cloud-Speichern wie GoFile heruntergeladen – ein Trick, der viele E-Mail-Sicherheitssysteme umgeht. Das Fatale: Unter Windows sind Bildschirmschoner-Dateien (.scr) technisch ausführbare Programme, genau wie .exe-Dateien. Ein Doppelklick startet keinen Bildschirmschoner, sondern einen bösartigen Prozess – ohne jede Warnung.

Im Hintergrund installiert sich dann scheinbar harmlose Remote-Monitoring-and-Management-Software (RMM) wie SimpleHelp. Diese Tools sind in IT-Abteilungen für den Support üblich, werden hier aber von Cyberkriminellen missbraucht. Nach der Installation haben die Angreifer dauerhaften, interaktiven Zugriff auf den infizierten Rechner. Sie können Daten ausspähen, Aktivitäten überwachen und sich im Firmennetzwerk ausbreiten.

Cyberkriminelle schleusen Schadcode immer öfter über vermeintlich harmlose Anhänge – von .scr‑Dateien bis zu manipulierten Cloud‑Downloads. Das kostenlose Anti‑Phishing‑Paket zeigt in einer klaren 4‑Schritte‑Anleitung, wie Sie Phishing‑Mails, CEO‑Fraud und missbräuchliche RMM‑Installationen erkennen, technische Schutzmaßnahmen einführen und Ihre Mitarbeitenden wirksam schulen. Enthalten sind Checklisten, Präventionsmaßnahmen und konkrete Incident‑Response‑Tipps für IT‑Teams. Anti‑Phishing‑Paket jetzt kostenfrei herunterladen

Warum herkömmliche Abwehr versagt

Die Kampagne ist so tückisch, weil sie mit legitimer Software arbeitet. „Diese ‚Living-off-the-Land‘-Taktik macht die Erkennung extrem schwierig“, erklärt ein Sicherheitsanalyst. Der Datenverkehr der RMM-Tools gleicht normaler Administratoren-Aktivität und wird von vielen Sicherheitssystemen nicht blockiert.

Hinzu kommt eine gefährliche Wissenslücke: Viele Sicherheitsrichtlinien und Schulungen konzentrieren sich auf gängige Dateitypen wie .exe, während .scr-Dateien oft übersehen werden. Genau diese Lücke nutzen die Angreifer aus. Die geschäftlichen Themen der Phishing-Mails senken zudem die natürliche Skepsis der Empfänger. In analysierten Fällen reichte ein einziger Klick für die stille Installation – der Nutzer bemerkte meist nichts.

So können sich Unternehmen schützen

Sicherheitsexperten raten zu einer mehrschichtigen Verteidigungsstrategie:
* Anwendungskontrolle verschärfen: .scr-Dateien müssen denselrestriktiven Regeln unterliegen wie .exe-Dateien. Tools wie Windows Defender Application Control können so konfiguriert werden, dass nur vertrauenswürdige, signierte Anwendungen ausgeführt werden.
* RMM-Software streng kontrollieren: IT-Abteilungen sollten eine Positivliste genehmigter Fernwartungstools führen und aktiv nach nicht autorisierten Installationen suchen. Eine unerlaubte RMM-Installation ist ein Frühwarnindikator.
* Zugriff einschränken: Der Zugriff auf nicht geschäftsrelevante File-Hosting-Dienste sollte auf DNS- oder Proxy-Ebene blockiert werden.
* Mitarbeiter sensibilisieren: Die wichtigste Verteidigungslinie bleibt der Mensch. Nutzer müssen verstehen, dass jede ausführbare Datei – unabhängig von der Endung – eine potenzielle Gefahr darstellt.

Der Erfolg dieser Kampagne zeigt einen klaren Trend: Angreifer werden weiterhin wenig beachtete Dateiformate und legitime Tools missbrauchen, solange die Sicherheitsvorkehrungen Lücken aufweisen. In einer Zeit, in der die Grenze zwischen harmloser Datei und ernster Bedrohung immer mehr verschwimmt, sind wachsame Proaktivität und regelmäßige Schulungen unverzichtbar.

PS: Sie wollen sicherstellen, dass ein einziger Klick nicht das ganze Firmennetz kompromittiert? Das Anti‑Phishing‑Paket liefert fertige Schulungsbausteine, Vorlagen für Sicherheits‑Policies und eine praktische Checkliste, mit der IT‑Verantwortliche RMM‑Missbrauch und Downloads von Hosting‑Diensten blockieren können. Ideal für Sicherheitsbeauftragte, IT‑Leads und Geschäftsführung, die schnell wirksame Maßnahmen implementieren möchten. Jetzt Anti‑Phishing‑Paket sichern