Cyber-Angriffe zwingen Windows-Nutzer zur Selbst-Infektion

Terminal-Bedrohungen überschwemmen das Netz und nutzen Social Engineering, um Nutzer zur Ausführung bösartiger Befehle zu verleiten. Die Angriffe umgehen klassische Virenscanner und setzen auf KI-gestützte Verschleierung.

Die letzten Märztage und der April-Beginn 2026 markieren eine gefährliche Eskalation von Cyber-Bedrohungen für Windows-Nutzer. Sicherheitsforscher weltweit melden eine Welle von Angriffen, die traditionelle Antivirensoftware umgehen, indem sie Anwender trickreich zur manuellen Ausführung schädlicher Kommandos in PowerShell oder der Eingabeaufforderung verleiten. Diese "Nutzer-assistierten" Infektionen, darunter hochkarätige Lieferketten-Angriffe und KI-verschleierte Schadsoftware, werden zum primären Einfallstor.

Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC und umgehen oft unbemerkt herkömmliche Sicherheitssoftware. In diesem kostenlosen Experten-Report erfahren Sie, wie Sie Ihren Rechner in wenigen Schritten effektiv gegen Viren und Hacker absichern. Gratis Anti-Virus-Paket jetzt herunterladen

Die ClickFix-Pandemie: DeepLoad und Venom Stealer

Ein Haupttreiber dieser Welle ist die sogenannte ClickFix-Technik. Dabei locken gefälschte Browser-Fehlermeldungen oder Systemwarnungen Nutzer in die Falle. Die Opfer werden aufgefordert, das angebliche Problem zu beheben, indem sie einen vorgegebenen Code-Block in die Windows-Ausführen-Dialogbox kopieren.

Am 1. April 2026 identifizierte ReliaQuest die neue Malware-Familie DeepLoad. Ihr Markenzeichen: Ein KI-generierter Verschleierungscode. „Der PowerShell-Loader versteckt seine eigentliche Funktion unter Tausenden sinnloser Variablen-Zuweisungen“, erklärt ein Forscher. So wird die dateibasierte Erkennung neutralisiert. Nach der Ausführung sichert sich DeepLoad dauerhaften Zugriff über Windows-Aufgabenplanung und WMI-Event-Abonnements. Selbst eine Bereinigung übersteht die Malware oft – Infektionen wurden beobachtet, wie sie drei Tage später wieder aktiv wurden.

Parallel dazu tauchte am selben Tag mit Venom Stealer ein neues „Malware-as-a-Service“-Angebot auf. Die Plattform von BlackFog bietet Cyberkriminellen fertige ClickFix-Vorlagen, die Cloudflare CAPTCHAs oder Windows-Update-Meldungen imitieren. Venom Stealer ist speziell auf den Diebstahl von Krypto-Wallets und Browser-Passwörtern optimiert und kann sogar moderne Verschlüsselungen in Chromium-Browsern umgehen.

Lieferketten-Krise: Der Axios-npm-Hijack

Der folgenschwerste Vorfall dieser Angriffswelle traf am 31. März 2026 die beliebte JavaScript-Bibliothek Axios. Nach der Kompromittierung des Kontos des Hauptmaintainers wurden zwei bösartige Versionen (1.14.1 und 0.30.4) im npm-Registry veröffentlicht. Axios verzeichnet wöchentlich etwa 100 Millionen Downloads.

Microsoft Threat Intelligence führt den Angriff auf die nordkoreanische, staatlich verbundene Gruppe Sapphire Sleet zurück. Auf Windows-Systemen führt das vergiftete Paket ein Post-Install-Skript aus, das einen Remote Access Trojaner (RAT) herunterlädt. Zur Tarnung benennt sich die Malware in „wt.exe“ um – den Namen des legitimen Windows Terminals – und versteckt sich im ProgramData-Ordner.

„Der erste Rückruf an die Server der Angreifer erfolgt bereits 1,1 Sekunden nach Installationsbeginn“, warnt StepSecurity. Da die Hacker die GitHub-basierte CI/CD-Pipeline umgingen und direkt über die npm-CLI veröffentlichten, erschienen die bösartigen Versionen für automatisierte Sicherheitstools legitim. Entwickler werden dringend aufgefordert, auf die Versionen 1.14.0 oder 0.30.3 zurückzustufen und alle Zugangsdaten zu wechseln, die auf infizierten Rechnern gespeichert waren.

WhatsApp-Köder und KI-verschleierte Loader

Am 2. April 2026 warnte Microsoft vor einer neuen Malware-Kampagne, die über WhatsApp verbreitet wird. Der Angriff beginnt mit bösartigen VBS-Skripten. Diese verschaffen sich Zugang, erstellen versteckte Verzeichnisse und installieren umbenannte Versionen legitimer Systemtools wie curl.exe.

Indem diese vertrauten Windows-Programme genutzt werden, um weitere Schadlasten von Cloud-Diensten wie AWS zu holen, tarnt sich der bösartige Datenverkehr als normale Netzwerkaktivität. Die Kampagne zielt darauf ab, Berechtigungen zu eskalieren, indem die User Account Control (UAC)-Einstellungen manipuliert und nicht signierte MSI-Pakete mit Fernwartungstools wie AnyDesk installiert werden.

Die Schnittstelle von KI und Terminal-Sicherheit rückte zudem durch eine Schwachstelle in Anthropics Claude Code CLI-Tool in den Fokus. Ein fest codiertes Limit in der Sicherheitsprüfung (CC-643) konnte umgangen werden. Enthielt ein KI-generierter Befehl mehr als 50 Unterbefehle, fragte das System nur noch nach Nutzererlaubnis, anstatt die Aktion zu blockieren. So konnten Prompt-Injection-Angriffe möglich werden. Anthropic hat das Problem in Version 2.1.90 behoben.

Abwehr im Terminal-Zeitalter

Die rasante Entwicklung dieser Terminal-Bedrohungen zwingt zu einem grundlegenden Umdenken. Traditionelle Virenscanner versagen oft, weil die initiale Ausführung von einem legitimen Nutzer über vertraute Prozesse wie PowerShell erfolgt.

Sicherheitsexperten empfehlen mehrere Sofortmaßnahmen:
- PowerShell einschränken: Unternehmen sollten über Gruppenrichtlinien restriktive Ausführungsrichtlinien erzwingen und den „Ausführen“-Dialog für Standardnutzer deaktivieren.
- Logging verstärken: PowerShell Script Block Logging und SACL-Monitoring sind entscheidend, um verschleierte Befehle zu identifizieren.
- Zugangsdaten-Hygiene: Nach dem Axios-Vorfall sollten alle Credentials auf Entwicklermaschinen als kompromittiert betrachtet werden, wenn die schädlichen Versionen installiert waren.
- Nutzer schulen: Schulungsprogramme müssen gezielt davor warnen, Befehle von Webseiten oder Messengern zu kopieren, um angebliche Systemfehler zu beheben.

Da Hacker zunehmend psychologische Tricks und Living-off-the-Land-Techniken einsetzen, ist ein modernes Schutzkonzept für Nutzer unerlässlich. Dieser kostenlose Leitfaden der PC-Sicherheitsexperten zeigt Ihnen, wie Sie Schnüfflern effektiv die Tür vor der Nase zuschlagen. Anti-Virus-Paket von Computerwissen gratis sichern

Analyse: Die Waffe sind legitime Tools

Der Anstieg dieser Angriffe spiegelt einen breiteren Trend im Bedrohungsjahr 2026 wider: die Weaponisierung legitimer Administrations-Tools. Indem Angreifer von ausführbaren Dateianhängen auf „Living-off-the-Land“-Techniken umsteigen, zwingen sie Sicherheitsanbieter, sich stärker auf Verhaltensanalyse statt Signaturerkennung zu verlassen.

Die Beteiligung von Sapphire Sleet am Axios-Angriff zeigt, dass Lieferketten-Schwachstellen nach wie vor der wirkungsmächtigste Hebel sind, um Unternehmensumgebungen zu erreichen. In Kombination mit der KI-gestützten Verschleierung, wie bei DeepLoad, ist die Einstiegshürde für die Erstellung unerkennbarer Malware deutlich gesunken.

Ausblick: KI, striktere Kontrollen und „Trusted Publishing“

Die Cybersicherheits-Community erwartet eine weitere Integration von KI, um lokalisierte und kontextsensitive Social-Engineering-Köder zu automatisieren. Da Terminal-Angriffe häufiger werden, dürfte Microsoft in den kommenden Windows-Updates Ende 2026 striktere Standardkontrollen für PowerShell und das Windows Terminal einführen.

Die Branche bewegt sich zudem zu „Trusted Publishing“-Modellen für Open-Source-Registries wie npm, um Account-Übernahmen wie bei Axios zu verhindern. Bis diese systemischen Veränderungen vollständig umgesetzt sind, liegt die Verteidigungslast bei wachsamer Überwachung und der Einschränkung mächtiger Kommandozeilen-Tools. Unternehmen müssen sich auf einen anhaltenden Fokus auf identitätsbasierte Sicherheit und das Auditing von Drittanbieter-Abhängigkeiten als primäre Verteidigungslinie einstellen.

boerse | 69059331 |