Tools / Neuigkeiten / Das FBI bezeichnete kostenlose Online-Dateikonverter als 'grassierenden' Ransomware-Angriffsvektor. Schulen, Universitäten und Behörden sperren sie nun.
Presse

Das FBI bezeichnete kostenlose Online-Dateikonverter als 'grassierenden' Ransomware-Angriffsvektor. Schulen, Universitäten und Behörden sperren sie nun.

· VaultTools

Nachdem eine FBI-Warnung gefälschte Online-Dateikonvertierungsseiten als aktive Malware-Verbreitungstools identifizierte, bestätigten unabhängige Forscher spezifische bösartige Domains. Eine Welle institutioneller Verbote folgte. Ein Ransomware-Angriff im Februar 2026 auf eine große US-Zeitungsgruppe soll auf einen solchen Dienst zurückzuführen sein.

VaultTools · 20. März 2026

Ein leuchtendes Vorhängeschloss auf einer dunklen Platine, das digitale Sicherheit und Ransomware-Bedrohungen symbolisiert. Foto von Franck auf Unsplash

Inhaltsverzeichnis


Die FBI-Warnung

Am 7. März 2025 gab das FBI-Außenbüro in Denver eine öffentliche Warnung heraus, dass kostenlose Online-Dateikonvertierungswebsites aktiv eingesetzt werden, um Malware zu verbreiten und Daten aus hochgeladenen Dokumenten zu stehlen. Die Behörde bezeichnete das Problem als „grassierend” und stellte fest, dass die Seiten nicht nur den Rechner des Downloaders infizieren: Sie scrapen auch sensible Inhalte aus den zu konvertierenden Dateien, darunter Sozialversicherungsnummern, Bankdaten, Zugangsdaten für Kryptowährungs-Wallets und in Dokumenten gespeicherte Passwörter.

Die Warnung nannte keine spezifischen Domains, beschrieb jedoch ein konsistentes Muster: Eine Seite nimmt eine Datei zur Konvertierung entgegen, liefert ein funktionierendes konvertiertes Ergebnis, um keinen Verdacht zu erregen, und führt gleichzeitig serverseitig bösartigen Code aus oder erntet den Dateiinhalt.

Was Forscher Bestätigten

BleepingComputer untersuchte die Behauptungen des FBI unabhängig und bestätigte spezifische aktive Domains, die das beschriebene Schema betreiben, darunter pdfixers.com und docu-flex.com. Eingereichte Dateien wurden korrekt verarbeitet und zurückgegeben, während gleichzeitig Malware ausgeliefert wurde.

Malwarebytes identifizierte weitere aktive bösartige Konvertierungsseiten: imageconvertors.com, convertitoremp3.it, convertisseurs-pdf.com und convertscloud.com. Diese Seiten ahmen das visuelle Design legitimer Tools nach und erscheinen in Suchergebnissen für häufige Konvertierungsanfragen, was es typischen Nutzern schwer macht, sie von seriösen Diensten zu unterscheiden.

Die Welle Institutioneller Verbote

Im Anschluss an die FBI-Warnung und ihre unabhängige Bestätigung begann sich eine Welle formeller institutioneller Warnungen und vollständiger Verbote durch 2025 und bis in das Jahr 2026 auszubreiten.

Die SHASS-IT-Abteilung des MIT veröffentlichte eine direkte Anweisung mit dem Titel „Benutzen Sie KEINE Online-Dateikonvertierungswebsites” und wies Lehrkräfte und Mitarbeiter an, alle cloud-basierten Konvertierungstools für Arbeitsdokumente zu meiden. Der Schulen-IT-Dienst des Derbyshire County Council in Großbritannien veröffentlichte ein ausführliches Leitliniendokument, das Schulen über die spezifischen Risiken kostenloser Dateikonverter warnte. Die Washington University in St. Louis gab ähnliche Hinweise an ihre Gemeinschaft heraus.

In jedem Fall zitierten die Institutionen sowohl das Malware-Übertragungsrisiko als auch das Datenexpositionsrisiko durch Dateien, die auf Servern Dritter verarbeitet werden.

Der Ransomware-Angriff Auf Lee Enterprises

Am 3. Februar 2026 wurde Lee Enterprises, der US-Verleger, der 77 lokale und regionale Zeitungen in 26 Bundesstaaten betreibt, von einem Ransomware-Angriff getroffen, der Druck, Vertrieb und digitale Betriebe wochenlang lahmlegte. Die Ransomware-Gruppe Qilin übernahm später die Verantwortung und drohte damit, gestohlene Daten zu veröffentlichen.

Sicherheitsreporter, die den Vorfall verfolgten, stellten fest, dass ein Dateikonvertierungstool als wahrscheinlicher initialer Angriffsvektor identifiziert wurde. Lee Enterprises legte in SEC-Anmeldungen offen, dass die Wiederherstellungskosten rund 2 Millionen Dollar betrugen. Der Angriff störte Redaktionen im ganzen Land.

Qilin ist eine der aktivsten Ransomware-Gruppen, die bis in das frühe 2026 verfolgt wird. Der mutmaßliche Einsatz einer Dateikonvertierungsseite als Einfallstor folgt dem vom FBI beschriebenen Muster: Ein Mitarbeiter lädt ein Arbeitsdokument auf eine scheinbar harmlose Utility-Seite hoch, und die Sitzung endet mit Zugangsdatendiebstahl oder einem Malware-Payload, der dauerhaften Netzwerkzugang ermöglicht.

Warum Das Hochladen Von Dateien Zu Konvertern Diese Angriffsfläche Schafft

Das Risiko bei cloud-basierter Dateikonvertierung ist struktureller Natur. Ein Nutzer übermittelt eine Datei an einen entfernten Server. Dieser Server hat während der Verarbeitung vollen Zugriff auf den Inhalt der Datei und behält sie je nach Dienst auch danach. Ein bösartiger Betreiber kann den Dateiinhalt lesen, kopieren oder exfiltrieren, ohne dass der Nutzer es bemerkt. Ein legitimer Betreiber kann kompromittiert werden, und gespeicherte Dateien werden Teil der Datenpanne.

Keines dieser Szenarien erfordert, dass der Nutzer auf einen verdächtigen Link klickt oder eine offensichtliche ausführbare Datei herunterlädt. Der Upload selbst ist die Gefährdung.

Browser-basierte Konvertierungstools, die auf WebAssembly aufgebaut sind, verarbeiten Dateien ohne jegliche Serverbeteiligung. Das Dokument wird von der Festplatte des Nutzers gelesen, im Browser-Tab mit kompiliertem Code konvertiert und zurück auf die Festplatte gespeichert. Es wird nichts an einen entfernten Server übertragen. Es gibt keinen Inhalt, den ein bösartiger Betreiber abgreifen könnte, und keine gespeicherte Datei, die bei einer Datenpanne exponiert werden könnte.

Die institutionellen Verbote, die sich nun durch Schulen, Universitäten und Behörden verbreiten, formalisieren, was die Architektur bereits deutlich macht: Cloud-basierte Dateikonvertierung und Dokumenten-Privatsphäre sind unvereinbar.


Quellen