Cyberkriminelle werden immer raffinierter, wenn es darum geht, schädliche Software zu tarnen. Eine besonders perfide Methode nutzt Unicode-Steuerzeichen, um Dateien als harmlose Bilder oder Dokumente zu tarnen, obwohl es sich in Wahrheit um gefährliche Malware handelt.
Das Prinzip ist simpel, aber effektiv: Da Sprachen wie Arabisch oder Hebräisch von rechts nach links geschrieben werden, gibt es im Unicode-Standard spezielle Steuerzeichen, die die Schreibrichtung umkehren. Das Zeichen U+202E (Right-to-Left Override) ist dabei besonders tückisch.
So funktioniert der Unicode-Trick:
Stellt euch vor, ein Hacker benennt seine Malware-Datei „Rechnung[U+202E]gpj.exe“, wobei [U+202E] das unsichtbare Steuerzeichen ist. In eurem Datei-Explorer erscheint die Datei dann als „Rechnungexe.jpg“ – scheinbar eine harmlose Bilddatei. In Wahrheit handelt es sich aber um eine ausführbare .exe-Datei, die euren Computer infizieren kann.
Moderne Varianten des Unicode-Angriffs:
2026 haben sich diese Angriffe weiterentwickelt. Kriminelle nutzen nicht nur das klassische Right-to-Left-Override, sondern auch andere Unicode-Steuerzeichen wie:
• U+061C (Arabic Letter Mark)
• U+200F (Right-to-Left Mark)
• U+2067 (Right-to-Left Isolate)
Besonders gefährlich wird es bei E-Mail-Anhängen, die als PDF-Dateien getarnt sind, aber tatsächlich Trojaner enthalten. Mit dem Dateinamen „Bewerbung[U+202E]fdp.exe“ erscheint die Datei als „Bewerbungexe.pdf“ und täuscht selbst vorsichtige Nutzer.
So schützt ihr euch vor Unicode-Tricks:
- Dateierweiterungen vollständig anzeigen: Aktiviert in Windows die Anzeige aller Dateiendungen. Geht dazu in den Explorer-Optionen auf „Ansicht“ und deaktiviert „Erweiterungen bei bekannten Dateitypen ausblenden“.
-
Verdächtige Zeichen erkennen: Achtet auf ungewöhnliche Zeichen oder seltsame Worttrennungen in Dateinamen. Wenn „document.pdf“ plötzlich als „documefdp.exe“ angezeigt wird, ist das ein Warnsignal.
-
Moderne Antivirensoftware: Aktuelle Security-Suiten wie Bitdefender, Kaspersky oder Windows Defender erkennen viele dieser Tricks mittlerweile. Haltet eure Schutzprogramme immer auf dem neuesten Stand.
-
Browser-Schutz nutzen: Chrome, Firefox und Edge warnen seit 2025 verstärkt vor Downloads mit verdächtigen Unicode-Zeichen in den Dateinamen.
-
Gesunder Menschenverstand: Wenn ihr eine Bewerbung als PDF erwartet, aber die Datei plötzlich eine .exe-Endung hat, lasst die Finger davon.
Neue Entwicklungen 2026:
Microsoft hat mit Windows 11 24H2 eine neue Schutzfunktion eingeführt, die Unicode-Steuerzeichen in Dateinamen automatisch sichtbar macht. In den Sicherheitseinstellungen könnt ihr unter „Erweiterte Bedrohungsabwehr“ die Option „Unicode-Steuerzeichen anzeigen“ aktivieren.
Auch Apple reagierte: macOS Sonoma 14.7 zeigt verdächtige Unicode-Zeichen in Dateinamen als kleine Warnsymbole an.
Besonders perfide: Social Engineering kombiniert:
Cyberkriminelle kombinieren Unicode-Tricks mittlerweile mit Social Engineering. Sie versenden E-Mails, die vorgeben, von bekannten Unternehmen zu stammen, und nutzen Unicode-Zeichen, um sowohl die Absender-Adresse als auch die Anhänge zu fälschen.
Ein Beispiel: Eine E-Mail scheint von „support@paypal.com“ zu kommen, enthält aber versteckte Unicode-Zeichen, die die echte Domain verschleiern. Der Anhang „Rechnung[U+202E]fdp.exe“ sieht aus wie eine PDF-Datei.
Toolbox für IT-Profis:
Für Systemadministratoren gibt es mittlerweile spezialisierte Tools wie „UnicodeChecker“ oder „FileNameAnalyzer“, die verdächtige Unicode-Zeichen in Dateinamen auf Netzwerkebene erkennen und blockieren können.
Der wichtigste Schutz bleibt aber nach wie vor: Gesunde Skepsis bei unerwarteten Dateien, besonders wenn sie per E-Mail oder über Download-Portale kommen. Im Zweifel die Datei nicht öffnen und beim Absender nachfragen.
Fazit: Unicode-Tricks sind nach wie vor eine reale Bedrohung, aber mit den richtigen Schutzmaßnahmen und etwas Aufmerksamkeit lassen sie sich erfolgreich abwehren.
Zuletzt aktualisiert am 08.04.2026
