DesckVB, RAT

DesckVB RAT: Neue Schadsoftware agiert unsichtbar im Arbeitsspeicher

13.04.2026 - 11:49:29 | boerse-global.de

Die neue Malware DesckVB RAT infiziert Systeme ohne Dateispuren und nutzt legitime Tools für Angriffe. Experten warnen vor der Gefahr und empfehlen verhaltensbasierte Sicherheitsmaßnahmen.

DesckVB RAT: Neue Schadsoftware agiert unsichtbar im Arbeitsspeicher - Foto: über boerse-global.de

Ein neuartiger Trojaner infiziert Systeme, ohne Spuren auf der Festplatte zu hinterlassen. Die als DesckVB RAT identifizierte Schadsoftware nutzt ausgeklügelte Tarnmethoden, um sich vor herkömmlicher Antiviren-Software zu verstecken und Angreifern die vollständige Kontrolle über betroffene Rechner zu verschaffen. Cybersecurity-Experten der Firma Point Wild warnten Anfang April vor dieser kritischen Gefahr für Unternehmen und Privatanwender.

Anzeige

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt dieser Report über aktuelle Bedrohungen und kostengünstige Schutzmaßnahmen. Gratis-E-Book: Cyber-Sicherheit im Unternehmen stärken

Die unsichtbare Infektionskette

Der Angriff beginnt meist mit einer stark verschleierten JavaScript-Datei. Wird diese ausgeführt, lädt sie keinen klassischen Schadcode auf die Festplatte. Stattdessen nutzt sie legitime Systemwerkzeuge wie PowerShell, um ihren bösartigen Payload direkt in den Arbeitsspeicher (RAM) des Computers zu injizieren. Diese „fileless“-Methode umgeht Sicherheitsprogramme, die verdächtige Dateierstellungen überwachen.

Um auch nach einem Neustart präsent zu bleiben, repliziert sich die Malware in verschiedene Formate – darunter Textdateien und weitere PowerShell-Skripte, die oft im öffentlichen Verzeichnis C:UsersPublic abgelegt werden. Bevor die eigentliche Spionage beginnt, prüft der Trojaner die Internetverbindung, indem er bekannte Domains wie Google anpingt. Erst dann baut er eine Verbindung zu den Command-and-Control-Servern (C2) der Angreifer auf.

Tarnkappen-Strategie und Spionagemodule

Die wahre Stärke von DesckVB RAT liegt in seiner Tarnung. Die Kommunikation mit den C2-Servern wird per TLS-Verschlüsselung über den Standard-Port 443 für HTTPS-Verkehr getarnt. So mischt sich der Datenstrom unerkannt unter den normalen Webverkehr eines Unternehmensnetzwerks. Die Serveradressen selbst sind durch mehrschichtige Verschleierungstechniken wie Base64-Kodierung und URL-Umkehr geschützt.

Ist die Verbindung etabliert, kann der Angreifer nach Bedarf verschiedene Spionagemodule nachladen. Diese „Plugins“ ermöglichen ein breites Spektrum an Aktivitäten:

  • Keylogging: Die Aufzeichnung aller Tastatureingaben erbeutet Passwörter, Bankdaten und private Nachrichten.
  • Webcam-Zugriff: Die Malware kann die Kamera unbemerkt aktivieren – und unterdrückt dabei oft die physische Status-LED, um den Nutzer nicht zu alarmieren.
  • Antiviren-Erkennung: Ein spezielles Modul sucht nach Sicherheitssoftware und passt das Verhalten des Trojaners an, um unentdeckt zu bleiben.
  • Datenexfiltration: Gestohlene Dateien werden über gesicherte Kanäle zu den Angreifern übertragen.

Die modulare Architektur ist strategisch klug: Der initiale Schadcode ist minimal. Erst wenn die Angreifer das infizierte System als lohnendes Ziel identifiziert haben, laden sie die invasiven Werkzeuge nach. Das erhöht die Chance, unentdeckt zu bleiben.

Anzeige

Rekord-Schäden durch Phishing und Trojaner zeigen, warum Unternehmen jetzt auf gezielte Awareness-Kampagnen und Expertenwissen setzen müssen. Kostenloses Anti-Phishing-Paket zur Hacker-Abwehr anfordern

Eine neue Ära der Cyber-Bedrohungen

DesckVB RAT steht exemplarisch für einen gefährlichen trend im Jahr 2026: Immer mehr Angreifer setzen auf speicherbasierte Attacken und missbrauchen legitime Systemtools – eine Taktik, die als „Living off the Land“ bekannt ist. Die Schwelle für die Erstellung solch komplexer Malware sinkt, da automatisierte Tools und KI-generierte Verschleierung auf dunklen Web-Märkten zugänglicher werden.

Für Unternehmen, besonders in Finanzwesen, Gesundheitssektor und Behörden, ist die Bedrohung akut. Da die Malware auch aktive Anwendungen und die Zwischenablage auslesen kann, sind selbst Nutzer von Passwort-Managern oder Zwei-Faktor-Authentifizierung nicht sicher, wenn Zugangsdaten im Moment der Benutzung abgefangen werden.

Wie können sich Unternehmen schützen?

Herkömmliche, signaturbasierte Antivirenprogramme sind gegen solche Bedrohungen weitgehend machtlos. Cybersecurity-Experten raten daher zu einem Paradigmenwechsel:

  1. Zero-Trust-Architektur: Jeder Zugriff muss verifiziert werden, das Prinzip des impliziten Vertrauens wird aufgegeben.
  2. Advanced Endpoint Detection and Response (EDR): Diese Lösungen überwachen das Systemverhalten und erkennen Anomalien, wie unautorisierte PowerShell-Ausführungen oder verdächtige Prozessbeziehungen.
  3. Proaktive Netzwerküberwachung: Der verschlüsselte HTTPS-Datenverkehr sollte auf Hinweise für C2-Kommunikation untersucht werden können.
  4. Regelmäßige Audits: Unerwartete Skripte in öffentlichen Verzeichnissen und ausgehende Verbindungen zu dynamischen DNS-Domains sind Warnsignale.

Die Entwickler von DesckVB RAT werden ihre Malware weiter verfeinern. Die nächsten Versionen könnten noch raffiniertere Anti-Analyse-Funktionen enthalten. Der Kampf gegen diese unsichtbaren Eindringlinge erfordert eine proaktive, verhaltensbasierte Sicherheitsstrategie.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | boerse | 69137037 |