Windows-Nutzer im Visier: Cyber-Kriminelle setzen auf neue Raffinesse

Eine Welle ausgeklügelter Cyber-Angriffe bedroht aktuell Windows-Nutzer weltweit. Sicherheitsforscher warnen vor Banking-Trojanern und Datendieben, die über gefälschte Software-Installationen, WhatsApp und sogar GitHub-Repositories verbreitet werden.

Die aktuellen Erkenntnisse von McAfee, Fortinet und Sophos zeichnen das Bild einer Bedrohungslandschaft, in der Cyber-Kriminelle ihre Taktiken kontinuierlich verfeinern. Im Fokus stehen dabei der Astaroth Banking-Trojaner, der Stealit Info-Stealer und ein sich selbst verbreitender WhatsApp-Wurm – alle mit besonderem Schwerpunkt auf lateinamerikanische Nutzer, insbesondere Brasilien.

McAfee-Forscher haben eine beispiellose Kampagne entdeckt: Der Astaroth Banking-Trojaner versteckt seine Konfigurationsdateien in GitHub-Repositories. Falls die Haupt-Server abgeschaltet werden, kann die Malware trotzdem frische Anweisungen von der Entwicklerplattform abrufen.

Der Angriff beginnt mit einer Phishing-E-Mail, oft getarnt als DocuSign-Benachrichtigung. Diese verleitet Nutzer dazu, eine gepackte Windows-Verknüpfung herunterzuladen. Die darauffolgende mehrstufige Infektion installiert schließlich den Delphi-basierten Trojaner, der Banking- und Kryptowährungs-Websites überwacht.

Sobald Nutzer entsprechende Seiten besuchen, zeichnet die Malware Tastatureingaben auf und überträgt die Login-Daten über den Ngrok-Proxy-Service an die Angreifer. McAfee arbeitete bereits mit GitHubs Sicherheitsteam zusammen, um die schädlichen Repositories zu entfernen.

Stealit-Malware tarnt sich als Spiele und VPN-Software

Fortinets FortiGuard Labs deckte parallel eine Kampagne auf, bei der der Stealit Info-Stealer über gefälschte Installationsprogramme für Spiele und VPN-Anwendungen verbreitet wird. Die Trojaner-Software wird über Plattformen wie Mediafire und Discord gehostet.

Besonders raffiniert: Die Angreifer nutzen Node.js Single Executable Applications (SEA) – ein experimentelles Feature, das schädliche Skripte in eigenständige Programme verpackt. Diese können auch auf Systemen ohne installiertes Node.js ausgeführt werden und überraschen so Sicherheitssoftware und Analysten.

Die Malware extrahiert sensible Daten aus Browsern, Gaming-Plattformen wie Steam, Messaging-Apps und Kryptowährungs-Wallets. Stealit funktioniert als Malware-as-a-Service und wird als „professionelle Datenextraktionslösung“ im Abo-Modell vermarktet.

WhatsApp-Wurm missbraucht Vertrauen zwischen Kontakten

Der gefährlichste Trend: Ein sich selbst verbreitender Wurm nutzt WhatsApp zur Infektion. Die „Water Saci“-Kampagne beginnt, wenn Nutzer eine schädliche ZIP-Datei von bestehenden WhatsApp-Kontakten erhalten – eine Taktik, die auf soziales Vertrauen setzt.

Die beigefügte Nachricht behauptet, der Dateiinhalt sei nur auf Desktop-Computern einsehbar. Das ZIP-Archiv enthält eine Windows-Verknüpfung, die PowerShell-Befehle ausführt und zwei Ziele verfolgt: Selbstverbreitung und Payload-Installation.

Die Malware kapert aktive WhatsApp Web-Sitzungen und verschickt automatisch Kopien der schädlichen Datei an alle Kontakte und Gruppen. Gleichzeitig installiert sie Banking-Trojaner, die auf brasilianische Finanzinstitute und Kryptowährungs-Börsen spezialisiert sind.

Anzeige: WhatsApp wird in der aktuellen Kampagne gezielt missbraucht. Wenn Sie Ihre Chats künftig privater und sicherer halten möchten, zeigt ein kostenloser PDF-Report, wie Sie in wenigen Minuten zu Telegram wechseln – inklusive Nummer verbergen, verschlüsselte/geheime Chats und der wichtigsten Sicherheitseinstellungen. Jetzt kostenloses Telegram-Startpaket sichern

Legitime Dienste werden zu Waffen umfunktioniert

Warum diese Angriffe so gefährlich sind? Cyber-Kriminelle missbrauchen zunehmend vertrauenswürdige Plattformen wie GitHub, Discord und WhatsApp für ihre Operationen. Der Datenverkehr zu und von diesen Diensten gilt normalerweise als harmlos – ein perfektes Versteck für Malware.

Die Konzentration auf Brasilien und Lateinamerika erklärt sich durch die hohe Verbreitung digitaler Banking-Services und regionale Sicherheitslücken. Durch maßgeschneiderte Social-Engineering-Köder und lokale Banking-Trojaner schaffen die Angreifer hocheffektive, geografisch fokussierte Kampagnen.

Anzeige: Wenn Schadsoftware Windows lahmlegt oder eine saubere Neuinstallation nötig wird, ist ein bootfähiger USB‑Stick die schnellste Rettung. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und im Notfall richtig einsetzen – ideal auch für Einsteiger. Gratis-Anleitung für den Windows‑11‑Boot‑Stick holen

Die Sicherheitsexperten erwarten eine weitere Intensivierung dieser Trends. Nutzer sollten Software ausschließlich von offiziellen Quellen herunterladen und selbst scheinbar sichere Dateien von Kontakten kritisch prüfen. Unternehmen benötigen mehrschichtige Sicherheitslösungen und umfassende Mitarbeiterschulungen gegen die raffinierten Social-Engineering-Taktiken der modernen Bedrohungslandschaft.