Typosquatting - Der Typo im Browser
Eine Kundin will Organisationsdaten für das Statistische Landesamt Rheinland-Pfalz erfassen, gelangt über einen Tippfehler auf eine Fakeseite. Die Nutzerin klickt – und infiziert sich mit einem Backdoor-Trojaner.
01 – Der Vorfall
Die Fakeseite war zum Glück sehr unprofessionell gestaltet. Das zeigt, dass die Angreifer das echte Potential für einen Typosquatting-Angriff für diese Domain nicht erkannt haben. Bei diesen Angriffen registrieren sich die Angreifer eine Domain, die einer bekannten Behörde zum Verwechseln ähnelt. Die echte Behörde erhebt in diesem Fall Meldepflichten für Unternehmen und Organisationen. Das macht sie zu einem glaubwürdigen Köder: Wer eine offizielle Aufforderung zur Datenmeldung erwartet, klickt – und vertraut.
Die betroffene Nutzerin rief die Seite unter Windows 10 (!) auf. Kurze Zeit später war ihr Gerät kompromittiert.
„Danach habe ich irgendetwas bestätigt, das erschien mir glaubwürdig, denn ich wollte ja Daten übermitteln.“ Der Windows Defender zeigte wohl kurz eine Nachricht, war aber danach nicht mehr startbar. Die Nutzerin unternahm noch einige Versuche, ließ das Gerät dabei leider im Netzwerk und schaltete das Gerät schließlich aus.
Der spätere Scan identifizierte den Schädling als Win32/ZPevdo.B — einen Backdoor-Trojaner, der still im Hintergrund arbeitet.
| Merkmal | Details |
|---|---|
| Schädling | Win32/ZPevdo.B |
| Typ | Backdoor-Trojaner / Dropper |
| Plattform | Windows (Win32) |
| Risikostufe | Hoch |
| Hauptgefahr | Datendiebstahl, C&C-Verbindung, Nachladen weiterer Malware |
| Verbreitung | Lateral im Netzwerk möglich |
Win32/ZPevdo.B ist kein einfaches Schadprogramm. Er öffnet eine Hintertür ins System, baut Verbindungen zu externen Servern auf und kann Passwörter, Browser-Daten und Cookies ausleiten — oder weitere Malware nachladen. Der Trojaner verbreitet sich nur unter Windows. Meine späteren Versuche mit der Webseite machte ich einer isolierten Linux-VM, ohne Verbindung zum internen Netzwerk. Im Anschluss löschte ich die VM.
02 – Woran Nutzer:innen einen Befall erkennen
Malware wie ZPevdo.B ist darauf ausgelegt, möglichst lange unentdeckt zu bleiben. Dennoch gibt es Warnsignale, die auch technisch wenig erfahrene Nutzer:innen wahrnehmen können:
Ungewohnte Systemlangsamkeit
Das Gerät reagiert plötzlich träge, obwohl keine ressourcenintensiven Programme laufen. Prozessoren oder Lüfter laufen dauerhaft auf Hochtouren.
Unbekannte Netzwerkaktivität
Die Internetverbindung ist ohne erkennbaren Grund stark ausgelastet. Dateien werden hochgeladen, obwohl niemand aktiv damit arbeitet.
Ungewöhnliche Pop-ups oder Browser-Verhalten
Neue Startseiten, unbekannte Erweiterungen, Weiterleitungen auf fremde Seiten tauchen ohne erklärbaren Grund auf.
Antivirenmeldungen
Warnungen des installierten Virenscanners sind immer ernst zu nehmen — auch wenn man sich unsicher ist, ob es sich um einen Fehlalarm handelt.
Kontosperrungen oder verdächtige Aktivitäten
Benachrichtigungen über Logins von unbekannten Geräten oder Standorten sind ein starkes Indiz, dass Zugangsdaten bereits kompromittiert wurden.
⚠️ Wichtig: Auch wenn keine Symptome sichtbar sind, bedeutet das nicht, dass das System sauber ist. Professionelle Malware ist auf Unsichtbarkeit ausgelegt. Im Zweifel: professionelle Hilfe holen.
03 – Was Nutzer:innen sofort tun sollten
Wer eine verdächtige Seite besucht hat, eine Datei geöffnet hat oder Symptome bemerkt, sollte sofort handeln – jede Minute zählt, denn Trojaner dieser Klasse beginnen sofort mit der Datenübertragung.
1. Gerät sofort vom Netz trennen
WLAN deaktivieren, LAN-Kabel ziehen. Das unterbricht die Verbindung zum Command-and-Control-Server und stoppt aktive Datenübertragungen.
In Unternehmen, die securitytechnisch gut aufgestellt sind:
Informieren Sie ihren Helpdesk! Dieser könnte z.B. wünschen, dass das vom Netz getrennte Gerät nicht ausgeschaltet werden – für eine spätere forensische Analyse sind flüchtige Daten im RAM wertvoll.\
Für Privatleute und kleine Organisationen: Ausschalten!
2. Passwörter von einem anderen Gerät ändern
Niemals vom verdächtigen Gerät aus. Ein Smartphone oder einen anderen Computer in einem separaten Netzwerk nutzen. Priorität: E-Mail, Banking, VPN-Zugänge, Unternehmensaccounts.
3. Bank und ggf. Arbeitgeber / IT informieren
Bei geschäftlichen oder ehrenamtlichen Geräten mit Netzwerkzugang muss die IT-Abteilung sofort informiert werden. Im Zweifel VPN-Zugänge sperren lassen.
4. Keine weiteren Aktionen auf dem Gerät
Nicht weiterarbeiten, keine Dateien löschen, keine Programme installieren. Das Gerät gehört ab sofort in die Hände von Fachleuten.
5. Netzwerk
Vor allem in Heimnetzwerken oder kleinen Organisationen, die in der Regel schlecht geschützt sind, kann auch eine Prüfung oder ein Scannen von anderen Netzwerkgeräten nicht schaden – z.B. wenn ein NAS mit dem Notebook verbunden ist.
04 – Wie ein Security-Experte vorgeht
Ein erfahrener IT-Sicherheitsexperte behandelt ein potenziell kompromittiertes Gerät wie einen Tatort: Beweise sichern, nichts verändern, systematisch vorgehen. In diesem Fall war das Gerät aber ausgeschaltet.
Schritt 1 — Bootfähiges Live-System
Das wichtigste Werkzeug ist ein Linux-Bootstick. Das infizierte Windows-System wird dabei nicht gestartet. Stattdessen bootet der Experte vom USB-Stick und analysiert das System von außen – so kann die Malware nicht aktiv werden und Spuren verwischen.
Schritt 2 — Virenscans ohne Windows
Vom Live-System aus werden die Windows-Partitionen eingebunden und mit Tools wie ClamAV oder Malwarebytes for Linux gescannt. Da der Scanner außerhalb des infizierten Systems läuft, können sich Rootkits und Stealth-Malware nicht verstecken.
Schritt 3 — Datensicherung
Wichtige Nutzerdaten werden vor der Bereinigung auf ein externes Medium gesichert – aber nur Dateien, keine ausführbaren Programme oder Systemdateien, die ebenfalls infiziert sein könnten. Außerdem könnte man ein forensisches Image der gesamten Festplatte erstellen, um den Ausgangszustand zu dokumentieren.
In diesem Fall (kleine Organisation) erschien mir das aber überzogen - außerdem würde ich mich nicht als „Forensiker“ bezeichnen. ;-)
Schritt 4 — Empfehlung: Neuaufsetzen
Bei einem Backdoor-Trojaner wie ZPevdo.B ist eine vollständige Bereinigung des laufenden Systems riskant – Reste können im System verbleiben. Die sichere Empfehlung ist ein komplettes Neuaufsetzen von Windows nach gesicherter Datensicherung. (Aber bitte nicht mehr Windows 10).
💡 Tipp für Ehrenamtliche und kleine Organisationen: Wer kein Budget für ein forensisches Vollgutachten oder Netzwerkanalysen hat — ein lokaler IT-Dienstleister mit Bootstick-Scan und anschließendem Neuaufsetzen ist in den meisten Fällen ausreichend und deutlich günstiger als ein Sicherheitsvorfall mit Datenverlust. Aus diesem Grund wurde hier auch nur der Minimalaufwand betrieben.
05 – Folgemaßnahmen: Melden, Sperren, Schützen
Die Reaktion auf einen Sicherheitsvorfall endet nicht mit der Bereinigung des Geräts. Wer die Fake-Domain meldet, schützt auch andere Nutzer.
| Priorität | Stelle | Zweck & Kontakt |
|---|---|---|
| Sofort | DENIC | Domain sperren lassen: abuse@denic.de |
| Sofort | BSI | Meldung Cybervorfall: bsi.bund.de |
| Bald | Polizei RLP | Onlinewache: onlinewache.polizei.rlp.de |
| Analyse | VirusTotal | Domain prüfen: virustotal.com |
| Analyse | urlscan.io | Seite in Sandbox scannen: urlscan.io |
| Analyse | Google Safe Browsing | URL prüfen: transparencyreport.google.com |
Zusätzlich empfiehlt es sich, den Vorfall der betroffenen Behörde selbst zu melden.
06 – Fazit: Ein Tippfehler als Einfallstor
Dieser Vorfall zeigt exemplarisch, wie gering der technische Aufwand für Angreifer sein kann und wie groß der Schaden für Betroffene.
Die wichtigste Schutzmaßnahme ist auch die einfachste: URL im Browser immer genau prüfen, bevor man auf einer Behördenseite Daten eingibt oder Dateien herunterlädt.
Wer zusätzlich einen modernen Browser mit aktivem Schutz verwendet – etwa Brave oder Firefox mit uBlock Origin – und sein System regelmäßig aktuell hält, reduziert das Risiko erheblich. Für Organisationen und Ehrenamtliche gilt darüber hinaus: Geräte mit VPN-Zugang verdienen besondere Aufmerksamkeit. Ein kompromittiertes Einzelgerät kann sonst zum Einfallstor ins gesamte Netzwerk werden.
✅ Checkliste für Organisationen
- Regelmäßige Schulungen zu Phishing & Spoofing
- Aktuelle Endpoint-Protection auf allen Geräten
- Klare Meldewege bei Sicherheitsvorfällen
- VPN-Zugänge mit Zwei-Faktor-Absicherung
- Regelmäßige Backups – offline, verschlüsselt, getestet
Security Advisory · April 2026 · Kein Rechtsrat. Bei konkreten Vorfällen IT-Fachleute und Behörden einschalten.
