Gefälschte Software-Webseiten

Cyberkriminelle kapern Windows-Rechner über manipulierte Downloads

Quelle: mundissima / Shutterstock.com

Kaspersky warnt vor einer Kampagne mit über 90 gefälschten Domains. Angreifer nutzen präparierte Software-Downloads zur Infektion mit AsyncRAT.

Das IT-Sicherheitsunternehmen Kaspersky hat eine groß angelegte Kampagne identifiziert, bei der Cyberkriminelle manipulierte Webseiten betreiben. Diese Internetpräsenzen imitieren offizielle Download-Seiten bekannter Software-Produkte wie OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam. Die Akteure nutzen Techniken der Suchmaschinenoptimierung, um die gefälschten Domains in den Suchergebnissen weit oben zu platzieren und so gezielt Anwender auf ihre Seiten zu lenken. Betroffen sind sowohl Privatpersonen als auch Unternehmen, die Windows-Systeme einsetzen. Insgesamt wurden mehr als 90 betrügerische Domains in zehn Sprachen nachgewiesen, darunter Deutsch, Englisch, Spanisch und Chinesisch.

Anzeige

Infektionsweg über DLL-Sideloading und ScreenConnect in Windows

Die Registrierungen der betroffenen Domains erreichten im Februar 2026 ihren vorläufigen Höhepunkt. Bereits im Jahr 2025 nutzte dieselbe Angreifergruppe ein ähnliches Verfahren, tarnte die Schadsoftware damals jedoch als Spiele-Installationsdateien. Der aktuelle Infektionsprozess startet über manipulierte Archivdateien. Diese enthalten neben einer legitimen, digital signierten Microsoft-Datei namens install.exe auch eine präparierte Bibliothek mit dem Namen install.res.1033.dll.

Durch DLL-Sideloading führt das System die schädliche Bibliothek im Hintergrund aus. Dadurch wird das legitime Fernwartungstool ScreenConnect auf dem System installiert. Über diese Schnittstelle erhalten die Angreifer dauerhaften Fernzugriff auf das kompromittierte Gerät und laden im nächsten Schritt den Open-Source-Trojaner AsyncRAT nach, welcher ihnen die vollständige Kontrolle über das infizierte System ermöglicht.

Diebstahl von Zugangsdaten und Weiterverkauf im Darknet

Die Kampagne ist so konzipiert, dass sie Sicherheitsmechanismen umgeht, indem sie auf legitime Werkzeuge setzt. Denis Kulik, leitender SOC-Analyst bei Kaspersky, kommentiert die strategische Ausrichtung der Angreifer:

Anzeige

„Die Kampagne zielt sowohl auf Nutzer ab, die kostenlose Programme aus dem Internet herunterladen, als auch auf Unternehmensnetzwerke, in denen Fernzugriffstools häufig auf der Whitelist stehen und mit erweiterten Berechtigungen ausgestattet sind. Sie ermöglicht den Diebstahl von Zugangsdaten in großem Umfang und den unbefugten Zugriff auf Systeme. Die gestohlenen Daten werden typischerweise später in Darknet-Foren weiterverkauft.“

Denis Kulik, leitender SOC-Analyst bei Kaspersky

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Empfohlene Schutzmaßnahmen für Organisationen und Verbraucher

Zur Schadensminimierung und Prävention werden spezifische Verhaltensregeln empfohlen.

Sicherheitsmaßnahmen für Unternehmen:

  • Die Softwareinstallation über Allow-Lists für Anwendungen kontrollieren und die Ausführung von MSI-Paketen aus unbekannten Quellen blockieren.
  • Aktive Fernwartungsdienste sowie automatisierte Systemaufgaben fortlaufend überwachen.
  • Den ausgehenden Netzwerkverkehr zu unbekannten Domains und IP-Adressen serverseitig filtern.
  • Mitarbeiter im Umgang mit Cybersicherheitsrisiken schulen und die eigenen IT-Systeme auf kompromittierte Zugangsdaten prüfen.

Sicherheitsmaßnahmen für Verbraucher:

  • Programme und Medien ausschließlich von den offiziellen Webseiten der jeweiligen Hersteller herunterladen.
  • Die Zwei-Faktor-Authentifizierung für alle Benutzerkonten, insbesondere für Finanz- und Ausweis-Apps, aktivieren.
  • Adresszeilen im Browser vor dem Download genau auf das korrekte URL-Format und die Schreibweise des Firmennamens prüfen.
  • Eine active Sicherheitslösung auf allen Endgeräten betreiben, um bekannte Schadprogramme frühzeitig zu blockieren.

(Kaspersky/red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.