PhishingMalwareCloud-Sicherheit

n8n-Webhooks als Malware-Schleusen: Massive Phishing-Kampagnen seit Oktober 2025

n8n-Webhooks als Malware-Schleusen: Massive Phishing-Kampagnen seit Oktober 2025
Zusammenfassung

Seit Oktober 2025 werden die Webhooks der KI-Automatisierungsplattform n8n massiv von Cyberkriminellen missbraucht, um ausgefeilte Phishing-Kampagnen durchzuführen und Malware zu verbreiten. Sicherheitsforscher von Cisco Talos haben dokumentiert, wie Angreifer die vertrauenswürdige Infrastruktur der beliebten Workflow-Plattform ausnutzen, um traditionelle Sicherheitsfilter zu umgehen und Malware-Payloads oder Geräte-Fingerprinting-Tools in automatisierten E-Mails zu verschicken. Das Problem: n8n-Webhooks verwenden die Subdomain *.app.n8n.cloud, was ihnen einen seriösen Anschein verleiht und sie von Spam-Filtern schwerer zu erkennen macht. Betroffene Nutzer werden per E-Mail zu vermeintlichen Dokumenten gelockt, die tatsächlich bösartige Skripte enthalten – nach dem Bestätigen eines CAPTCHA wird Malware heruntergeladen oder ein unsichtbarer Tracking-Pixel aktiviert, der die E-Mail-Adresse verrät. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, da die Anschläge darauf abzielen, modifizierte RMM-Tools wie Datto oder ITarian einzuschleusen und Fernzugriff auf Systeme zu etablieren. Das Volumen solcher Attacken ist zwischen Januar 2025 und März 2026 um 686 Prozent gestiegen – ein deutliches Zeichen der wachsenden Bedrohung.

n8n ist eine Low-Code-Plattform, die es Entwicklern und Unternehmen ermöglicht, verschiedene Web-Anwendungen, APIs und KI-Services miteinander zu verbinden. Nutzer können kostenlos ein Entwicklerkonto registrieren und erhalten eine eigene Cloud-gehostete Umgebung mit einer eindeutigen Subdomain im Format .app.n8n.cloud. Die Plattform unterstützt Webhooks – technisch als “umgekehrte APIs” bekannt – die es ermöglichen, Workflows automatisch auszulösen, wenn bestimmte Ereignisse eintreffen.

Genau diese Webhooks sind zur bevorzugten Waffe von Cyberkriminellen geworden. Sie nutzen die gleiche *.app.n8n.cloud-Subdomain, was den Angriffen ein hohes Maß an Legitimität verleiht. “Durch den Missbrauch vertrauenswürdiger Infrastruktur umgehen diese Angreifer traditionelle Sicherheitsfilter und verwandeln Produktivitätstools in Lieferketten für persistente Fernzugriffe,” erklären die Cisco-Talos-Forscher Sean Gallagher und Omid Mirzaei.

Zwei Angriffsszenarien dominieren bislang: Beim ersten Fall betten Angreifer n8n-gehostete Webhook-Links in E-Mails ein, die angeblich teilbare Dokumente enthalten. Beim Anklicken öffnet sich eine Seite mit CAPTCHA-Verifikation. Nach Bestätigung wird automatisch eine Malware heruntergeladen. Das Tückische: Der gesamte Prozess läuft im JavaScript des HTML-Dokuments ab, weshalb der Browser die Datei als vom n8n-Server stammend wahrnimmt – perfekt verschleiert.

Die heruntergeladenen Dateien sind häufig ausführbare Programme oder MSI-Installer, die modifizierte Versionen von legitimen Remote-Monitoring-Tools wie Datto oder ITarian Endpoint Management enthalten. Ziel ist es, eine Verbindung zu Command-and-Control-Servern aufzubauen und persistente Kontrolle über kompromittierte Systeme zu erlangen.

Das zweite Angriffsmuster betrifft Device-Fingerprinting. Hier werden unsichtbare Tracking-Pixel in E-Mails eingebettet, die auf n8n-Webhook-URLs gehostet werden. Sobald das E-Mail-Programm die Nachricht lädt, sendet es automatisch eine HTTP-GET-Anfrage an die n8n-URL und übermittelt dabei Tracking-Parameter wie die E-Mail-Adresse des Opfers. Dies ermöglicht es den Angreifern, gültige Ziele zu identifizieren und zu katalogisieren.

Für Sicherheitsteams stellt dies eine neue Herausforderung dar: Die gleichen Workflow-Automationen, die Entwickler-Arbeit rationalisieren, werden nun für die Skalierung von Cyberangriffen zweckentfremdet. Unternehmen, die n8n nutzen, sollten ihre Webhook-Konfigurationen überprüfen und verdächtige Aktivitäten überwachen. Gleichzeitig wird deutlich, dass Cloud-Plattformen nicht nur selbst geschützt werden müssen – auch ihre Missbrauchspotenziale erfordern Aufmerksamkeit.

Ähnliche Artikel