Arkanix: Neue Super-Malware knackt Chrome-Verschlüsselung

Ein hochgefährlicher Schädling hebelt moderne Browser-Sicherheitssysteme aus. Gleichzeitig meldet Kaspersky einen dramatischen Anstieg bei Passwort-Diebstählen – um 59 Prozent allein in diesem Jahr. Was steckt dahinter?

Die Cybersicherheitsbranche schlägt Alarm: Eine neue Generation von Schadprogrammen für Windows-Systeme macht sich breit. Im Zentrum steht „Arkanix”, ein Informationsdieb der besonderen Art. Doch das ist nur die Spitze des Eisbergs. Parallel dazu verzeichnen Sicherheitsforscher weltweit einen massiven Zuwachs bei Angriffen auf Nutzer-Identitäten. Die Zahlen sind beunruhigend – und die Methoden werden immer raffinierter.

Am Mittwoch veröffentlichten Sicherheitsforscher von GBHackers und G DATA ihre Analyse zu Arkanix. Was diese Malware von gewöhnlichen Schädlingen unterscheidet? Sie wird gezielt über den Messenger Discord verbreitet – getarnt als nützliche Tools für Gamer und Entwickler. Die Masche funktioniert erschreckend gut.

Viele Unternehmen unterschätzen, wie schnell Schadprogramme wie Arkanix oder Matanbuchus ganze Netzwerke kompromittieren können. Aktuelle Studien zeigen, dass ein großer Teil deutscher Firmen für solche Angriffe nicht ausreichend gerüstet ist. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen — von gezielten Endpoint-Checks über Anti‑Phishing‑Kontrollen bis zu aktivem Identitätsschutz — und liefert Checklisten für kleine IT‑Teams. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Besonders brisant: Arkanix existiert in zwei Varianten. Während die Python-Version vor allem Privatnutzer bedroht, richtet sich die C++-Ausführung gezielt gegen Unternehmensnetzwerke. Sie kann Remote-Desktop-Zugangsdaten abgreifen und ermöglicht es Angreifern, sich unbemerkt durch kompromittierte Netzwerke zu bewegen.

Der eigentliche Clou ist jedoch eine andere Fähigkeit. Arkanix umgeht die „App-Bound Encryption” von Google Chrome – eine erst kürzlich eingeführte Sicherheitsfunktion zum Schutz von Cookies und gespeicherten Passwörtern. Mittels eines Werkzeugs namens „Chrome Elevator” kann die Malware verschlüsselte Daten entschlüsseln und abgreifen: Kryptowallet-Schlüssel, WLAN-Zugänge, VPN-Konten – alles, was Wert hat.

Eine halbe Million Bedrohungen – täglich

Die Entdeckung von Arkanix fällt nicht zufällig in diese Woche. Am Donnerstagmorgen legte Kaspersky seinen Jahresbericht vor. Die Zahlen sprechen eine klare Sprache: Durchschnittlich 500.000 schädliche Dateien werden mittlerweile jeden Tag erkannt – sieben Prozent mehr als im Vorjahr.

Doch die eigentliche Brisanz steckt in der Verschiebung der Angriffsziele. Während das allgemeine Malware-Aufkommen moderat wuchs, explodierten die Detektionen von Passwort-Stehlern geradezu: plus 59 Prozent gegenüber 2024. Windows-Systeme tragen dabei die Hauptlast. Fast die Hälfte aller angegriffenen Geräte (48 Prozent) läuft mit dem Microsoft-Betriebssystem, verglichen mit nur 29 Prozent bei macOS.

„Schwachstellen bleiben der beliebteste Einstiegsweg in Unternehmensnetzwerke, gefolgt von gestohlenen Zugangsdaten – daher die Zunahme bei Passwort-Stehlern”, erklärt Alexander Liskin, Leiter der Bedrohungsforschung bei Kaspersky.

Glassworm: Wenn die Entwicklertools zur Falle werden

Bereits am Dienstag hatte eine andere Meldung für Unruhe gesorgt. Die „Glassworm”-Kampagne ist zurück – und sie zielt auf Softwareentwickler. Mindestens 24 manipulierte Erweiterungen wurden in den Microsoft Visual Studio Marketplace und die Open VSX Registry eingeschleust.

Die Täuschung ist perfekt: Die Pakete geben sich als beliebte Entwicklerwerkzeuge aus. Installiert ein ahnungsloser Programmierer eine dieser Extensions, lädt sie den berüchtigten Lumma Stealer nach. Das Perfide daran? Über kompromittierte Entwicklerrechner können Angreifer schädlichen Code in legitime Softwareprojekte einschleusen – ein Angriff auf die Lieferkette.

Trotz früherer Löschaktionen haben die Hintermänner schnell angepasst. Mit unsichtbaren Unicode-Zeichen in Paketbeschreibungen umgehen sie automatisierte Sicherheitsfilter. Ein Katz-und-Maus-Spiel, bei dem die Maus gerade die Nase vorn hat.

Matanbuchus 3.0: Die nächste Evolutionsstufe

Als wäre das nicht genug, veröffentlichte SOC Prime am Mittwoch eine Analyse zu „Matanbuchus 3.0″. Diese überarbeitete Version eines Malware-as-a-Service-Loaders nutzt hochentwickelte Verschleierungstechniken wie ChaCha20-Verschlüsselung und Protobuf-Serialisierung, um ihre Kommunikation vor Sicherheitstools zu verbergen.

Matanbuchus fungiert als Türöffner für weitere Bedrohungen. Nach der Infektion eines Windows-Systems lädt es häufig zusätzliche Schadprogramme wie den Rhadamanthys-Informationsdieb oder das Cobalt Strike Beacon nach – womit Angreifer die volle Fernkontrolle über das Opfersystem erlangen.

Die Identität als neue Schwachstelle

Was verbindet Arkanix, die Kaspersky-Statistiken und die Beständigkeit von Lumma und Matanbuchus? Sie alle zeigen: Identitäten sind das neue Angriffsziel. Nicht mehr komplexe Firewalls werden geknackt, sondern die Schlüssel gestohlen, mit denen man einfach durch die Vordertür spaziert.

„Der Sprung um 59 Prozent bei Passwort-Stehlern bestätigt, dass gültige Zugangsdaten mittlerweile die wertvollste Währung in der Cyberkriminalität sind”, erklärt ein leitender Analyst. Die Fähigkeit von Malware wie Arkanix, App-gebundene Verschlüsselung zu umgehen, deutet auf ein Wettrüsten hin: Während Browser-Hersteller ihre Systeme härten, reagieren Malware-Entwickler mit immer spezialisierteren Bypass-Techniken.

Was kommt auf uns zu?

Die Weihnachtszeit dürfte die Lage noch verschärfen. Erhöhte Online-Shopping-Aktivität kombiniert mit reduzierter IT-Personalbesetzung schafft ideale Bedingungen für Informationsdiebe. Experten raten Unternehmen dringend, ihre Endpoint-Detection-Systeme zu überprüfen – speziell nach Indikatoren für Arkanix und Lumma Stealer.

Die gezielte Attacke auf Entwicklerumgebungen über VS Code-Erweiterungen erfordert zudem strengere Kontrollen bei Software-Repositories. „Allow-Listen” für genehmigte Entwicklungswerkzeuge werden zur Notwendigkeit.

Mit Malware-as-a-Service-Plattformen, die die Einstiegshürde für Angreifer senken, wird das Angriffsvolumen kaum abnehmen. Die Verteidigung muss sich wandeln: weg vom passiven Virenscanner, hin zu aktivem Identitätsschutz und Verhaltensüberwachung, um subtile Anzeichen von Datendiebstahl frühzeitig zu erkennen.

PS: Sie möchten konkret wissen, welche einfachen Schritte Ihre IT sofort widerstandsfähiger machen? Das Gratis-E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen zusammen und liefert umsetzbare Kontrollen, Anti‑Phishing‑Maßnahmen und Compliance‑Tipps für Unternehmen jeder Größe. Ideal für Geschäftsführer und IT‑Verantwortliche, die ohne große Investitionen das Risiko senken wollen. Gratis-E-Book jetzt sicher herunterladen