• Fileless Malware

Fileless Malware, oder: The Ghost In The Machine

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

Stellen Sie sich vor, ein Einbrecher dringt in Ihr Haus ein, ohne Fußspuren oder Fingerabdrücke zu hinterlassen. Genauso operiert Fileless Malware: Unsichtbar für traditionelle Sicherheitssysteme, aber äußerst gefährlich. In unserem Blogartikel erfahren Sie, was Fileless Malware ist und wie Sie Angriffe abwehren können.

25.11.2025|zuletzt aktualisiert:25.11.2025

Was ist Fileless Malware?

Herkömmliche Malware nistet sich als Datei auf Ihrer Festplatte ein. Fileless Malware hingegen kommt ohne klassische ausführbare Dateien aus. Sie nutzt Systemtools und verbleibt hauptsächlich im Arbeitsspeicher des betroffenen Systems. Das perfide daran ist, dass sämtliche Spuren nach einem Angriff oft vollständig verschwunden sind – so, als wäre nie etwas geschehen.

Dieser Ansatz wird häufig auch „Living-off-the-Land” genannt und zeichnet sich dadurch aus, dass Angreifer Werkzeuge missbrauchen, die auf jedem Windows-System vorhanden sind, also beispielsweise PowerShell. Da diese Tools zum normalen Systembetrieb gehören, zeigen klassische Antivirenprogramme bei diesen Angriffen keine Wirkung.

Fileless Malware erlaubt es, Systeme unbemerkt zu kompromittieren, Daten auszuspähen oder zu verschlüsseln, jedoch, ohne dass eine Malware-Datei vorhanden ist. Die Ausführung ohne Dateien hat dabei entscheidende Vorteile, da sie bei etwaigen Analysen durch Forscher nur schwer nachvollziehbar ist und wenige Spuren hinterlässt.

Besonders gefährlich durch Modularität

Was einer der Vorteile und Besonderheiten von NoSpamProxy ist, ist leider auch das „Besondere“ an Fileless Malware: Modularität. Einzelne Komponenten – von der Umgehung von Sicherheitsmechanismen über Verschleierungstechniken bis hin zur Datenextraktion – werden modulbasiert entwickelt. So lässt sich die Malware in Form von Einzelkomponenten entwickeln, die sich schnell kombinieren und anpassen lassen.

Angreifer können ihre Werkzeuge deshalb weiterentwickeln, ohne das Gesamtsystem zu verändern. Die Einsatzgebiete reichen vom einfachen Loader für weitere Malware über Remote-Access-Trojaner (RAT), die Vollzugriff auf Zielsysteme ermöglichen, bis hin zu Ransomware.

    Wie läuft ein Angriff mit Fileless Malware ab?

    Cyberattacken sind Alltag für Unternehmen auf der ganzen Welt, und auch für Fileless Malware ist E-Mail das Haupteinfallstor. Der Grund ist klar: E-Mails sind allgegenwärtig und werden täglich milliardenfach geöffnet. Die Infektion erfolgt dabei überwiegend durch Phishing-E-Mails mit bösartigen Links oder durch Makros in Office-Dokumenten, die die Ausführung der eigentlichen Malware anstoßen. Eine weitere Infektionsquelle sind Softwareschwachstellen, die die Ausführung der Schadsoftware ebenfalls herbeiführen.

    Ein typisches Angriffsszenario beginnt harmlos: Sie erhalten eine E-Mail, die wie eine Rechnung, eine Bewerbung oder ein Dokument von einem Geschäftspartner aussieht. Im Anhang befindet sich ein Word- oder Excel-Dokument. Beim Öffnen erscheint die Meldung: „Makros müssen aktiviert werden, um den Inhalt anzuzeigen.”

    Klicken Sie jetzt auf „Inhalte aktivieren“, startet im Hintergrund ein bösartiges Makro PowerShell-Befehle, die Schadsoftware direkt in den Arbeitsspeicher laden, nicht zu erkennen für ihre Antivirus-Software. Die Emotet-Kampagnen der vergangenen Jahre haben diese Methode zur Perfektion gebracht.

    Neben Makros werden auch Links zu gefälschten Webseiten eingesetzt, bei deren Nutzung JavaScript-Code ausgeführt wird, der Browser-Schwachstellen ausnutzt und Schadcode direkt in den Speicher überträgt.

    Besonders heimtückisch sind HTML-Anhänge oder .hta-Dateien (HTML Applications). Diese werden vom Browser oder Windows direkt ausgeführt und können ohne weitere Warnmeldungen PowerShell-Befehle starten.

    Wie können Sie sich vor Fileless Malware schützen?

    Wie bereits erwähnt, beginnt ein Angriff mit Fileless Malware wie jeder andere Phishing-Angriff auch: mit einer verseuchten E-Mail. NoSpamProxy verfügt über mehrere Schutzebenen, die speziell darauf ausgelegt sind, Fileless Malware bereits am E-Mail-Gateway abzufangen, bevor sie auf Endgeräte gelangt.

    • Prüfen der Absenderreputation

      NoSpamProxy nutzt SPF, DKIM und DMARC zur Absenderreputation, um zu verifizieren, ob E-Mails tatsächlich vom angegebenen Absender stammen. Dadurch werden E-Mail-Spoofing und Phishing-Angriffe verhindert, die häufig als Einstieg für Angriffe mit Fileless Malware dienen. NoSpamProxy 25Reports ist dabei hilfreich, um die DMARC-Richtlinie zu pflegen und zu überwachen.

    • Content Disarm and Reconstruction (CDR)

      Die CDR-Funktion ermöglicht es, Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisch in harmlose PDF-Dateien umzuwandeln. Viele weitere Formate wie ausführbare Dateien können erkannt werden, so dass der Anhang blockiert oder die gesamte E-Mail abgelehnt wird. Dies schützt vor Fileless Malware, denn:

      • Makros in Office-Dokumenten werden nicht ausgeführt.
      • Der Empfänger erhält ein bereinigtes Dokument ohne gefährliche Inhalte.
      • Das Originaldokument verbleibt auf Wunsch in einer Quarantäne und kann erst nach Admin-Freigabe abgerufen werden.

    • 32Guards Sandbox

      Der 32Guards Sandbox-Service analysiert Dateien sowie den sogenannten Command-and-Control-Verkehr, also den Datenaustausch zwischen einem infizierten Computer und dessen „Meister“ im Netz. Bevor eine Datei von NoSpamProxy in die Sandbox hochgeladen wird, erstellt NoSpamProxy einen Hashwert und fragt die Sandbox, ob sie diesen bereits kennt. Ist der Hash bekannt, wird zudem abgefragt, ob er als gut oder böse eingestuft wurde.

    • URL Safeguard

      Der URL Safeguard schreibt Links in E-Mails um. Optional können auch Links in textbasierten Anhängen umgeschrieben werden. Der URL Safeguard in NoSpamProxy bewertet die Links.

      In NoSpamProxy arbeitet der URL Safeguard mit dem 32Guards zusammen und unterbindet den Zugriff auf Links, die nach der Zustellung als bösartig identifiziert wurden. Dies ermöglicht eine erneute Prüfung von Links in E-Mails bei jedem erneuten Klick. So werden die folgenden Fragen geklärt:

      • Gibt es aktuelle Bedrohungen auf dieser Domain?
      • Ist die Seite bekannt für Phishing, Malware oder betrügerisches Verhalten?
      • Weist die Seite verdächtige Weiterleitungen, Formulare oder Exploits auf?
      • Hat sich die Zielseite seit der ursprünglichen E-Mail verändert.

      Wird der Link als ungefährlich eingestuft, wird der Zugriff auf die ursprüngliche URL zugelassen, wird der Link als gefährlich eingestuft, wird der Zugriff unterbunden.

    • CxO-Betrugserkennung

      Die CxO-Betrugserkennung in NoSpamProxy erkennt gezielte Angriffe, bei denen sich Angreifer als Führungskräfte ausgeben. Diese Social-Engineering-Taktik ist bei Fileless-Malware-Kampagnen weit verbreitet.

    Sie haben NoSpamProxy noch nicht im Einsatz?

    Mit NoSpamProxy Protection und 25Reports schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen Whaling-E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!

    NoSpamProxy kostenfrei testen 25Reports kostenfrei testen
    NoSpamProxy schützt E-Mail-Kommunikation bei der Medical School HamburgNoSpamProxy schützt E-Mail-Kommunikation bei der Medical School Hamburg 800x800NoSpamProxy und Dropsuite schließen strategische Partnerschaft PreviewNoSpamProxy & Dropsuite stellen Bundle auf dem ALSO Cloud Marketplace ...