RAT-Malware über Windows Explorer setzt Krypto aufs Spiel

Cofense Intelligence deckt auf, wie Bedrohungsakteure Windows File Explorer und WebDAV-Server missbrauchen, um Browser-Sicherheitsmaßnahmen zu umgehen und RATs auf Unternehmensziele zu schleusen.

Bedrohungsakteure haben einen Weg gefunden, Malware direkt auf Unternehmensrechner zu bringen, ohne einen Webbrowser zu verwenden. Cofense Intelligence veröffentlichte am 25. Februar 2026 Erkenntnisse über eine aktive Kampagne, die die eingebaute Fähigkeit von Windows File Explorer ausnutzt, um sich mit entfernten WebDAV-Servern zu verbinden. Diese Taktik umgeht vollständig die üblichen Warnungen beim Herunterladen im Browser. Die meisten Nutzer wissen nicht, dass File Explorer auf Internetserver zugreifen kann.

WebDAV ist ein alter, HTTP-basierter Dateimanagement-Protokoll. Heutzutage nutzen nur noch wenige Menschen es. Windows unterstützt es jedoch weiterhin nativ in File Explorer, obwohl Microsoft die Funktion im November 2023 eingestellt hat. Die Lücke zwischen der Einstellung und der vollständigen Entfernung ist genau das, was Angreifer ausnutzen.

Wenn ein Ordner kein echter Ordner ist

Laut Cofense Intelligence in ihrem veröffentlichten Bericht tauchte die Kampagnenzahl erstmals im Februar 2024 auf, stieg aber im September 2024 stark an. Seitdem ist sie aktiv geblieben. Die Angriffe haben nicht nachgelassen. 87 Prozent aller aktiven Bedrohungsberichte, die mit dieser Taktik verbunden sind, liefern mehrere Remote-Access-Trojaner (RATs) als Endpayloads. Am häufigsten sind XWorm RAT, Async RAT und DcRAT.

Must Read: Krypto-Sicherheitsverletzung: Januar-Hacks summieren sich auf 86 Mio. $, Phishing steigt stark an

Wie die Attacke tatsächlich funktioniert

Opfer erhalten Phishing-E-Mails, die oft als Rechnungen auf Deutsch getarnt sind. Die E-Mails enthalten entweder URL-Shortcut-Dateien (.url) oder LNK-Shortcut-Dateien (.lnk). Beide können unbemerkt eine WebDAV-Verbindung im File Explorer öffnen. Der Nutzer sieht, was wie ein lokaler Ordner aussieht. Es ist keiner.

Besonders schädlich macht dies die folgende Kette. Skripte laden zusätzliche Skripte von separaten WebDAV-Servern herunter. Legitime Dateien vermischen sich mit bösartigen, um die Erkennung zu erschweren. Wenn ein RAT landet, hat der Delivery-Pfad mehrere Ebenen der Verschleierung durchlaufen. Sicherheitstools, die Browser-Downloads scannen, verpassen die gesamte Sequenz.

Der Cofense-Bericht stellt fest, dass 50 % aller betroffenen Kampagnen auf Deutsch sind. Englischsprachige Kampagnen machen 30 % aus. Italienisch und Spanisch bilden den Rest. Diese Verteilung deutet direkt auf europäische Unternehmens-E-Mail-Konten als primäres Ziel hin.

Sie könnten auch interessieren: npm Worm stiehlt Krypto-Schlüssel, zielt auf 19 Pakete

Cloudflare Tunnel übernimmt hier die schwere Arbeit für die Angreifer. Alle mit dieser Taktik verbundenen ATRs verwenden kostenlose Demo-Konten auf trycloudflare[.]com, um die bösartigen WebDAV-Server zu hosten. Die Infrastruktur von Cloudflare leitet die Verbindung des Opfers weiter. Das macht den Traffic auf den ersten Blick legitim. Die Demo-Konten sind absichtlich nur kurzzeitig aktiv, sodass Bedrohungsakteure sie nach Kampagnenstart schnell entfernen und forensische Analysen verhindern.

Warum Krypto-Inhaber ernsthaft gefährdet sind

Hier wird es für jeden, der digitale Assets besitzt, gefährlich. RATs wie XWorm und Async RAT gewähren Angreifern dauerhaften, entfernten Zugriff auf infizierte Maschinen. Das bedeutet, dass Zwischenablage-Inhalte, Browser-Sitzungen, gespeicherte Passwörter und Krypto-Wallet-Dateien in Reichweite sind. Zwischenablage-Entführung, eine Methode, die bereits Hunderten Millionen an Krypto-Diebstahl zugeschrieben wird, wird trivial, wenn ein RAT läuft.

Allein im Januar 2026 beliefen sich die Phishing-Verluste auf über 300 Mio. $, was die Verluste bei Protokoll-Hacks in diesem Zeitraum bei Weitem übertrifft. Die von Cofense dokumentierten Angriffsmethoden speisen direkt in diese Pipeline. Ein RAT, der via WebDAV auf einem Finanzmitarbeiter-Rechner landet, ist nicht nur ein IT-Problem des Unternehmens. Es ist ein direkter Weg zu geleerten Wallets und gestohlenen Schlüsseln.

Auch interessant: Mit zunehmender Bedrohungssituation wird die Sicherheit von Krypto-Wallets 2026 oberste Priorität

Was Organisationen jetzt tun sollten

Der Cofense-Bericht empfiehlt, gezielt nach Netzwerkverkehr zu den Demo-Instanzen von Cloudflare Tunnel zu suchen. EDR-Tools mit Verhaltensanalyse sollten .URL- und .LNK-Dateien, die sich mit entfernten Servern verbinden, kennzeichnen. Die schwierigere Lösung ist die Nutzeraufklärung. Die meisten Menschen wissen einfach nicht, dass die Adressleiste im File Explorer wie ein Browser funktioniert.

Das Überprüfen auf verdächtige URLs ist der erste Schutz. Ähnliche Missbräuche sind auch bei FTP und SMB möglich. Beide Protokolle werden regelmäßig im Unternehmen genutzt und können externe Server erreichen. Das Angriffsspektrum, das Cofense dokumentiert, ist breiter als nur WebDAV.

Verwandt: Hacks und Sicherheitsvorfälle 2025: Ein Jahr, das die Schwachstellen der Krypto-Branche offenlegte

Die vollständige technische Analyse, einschließlich IOC-Tabellen und Cloudflare Tunnel-Domain-Beispielen im Zusammenhang mit spezifischen aktiven Bedrohungsberichten, ist im Cofense Intelligence-Bericht auf cofense.com verfügbar.