Lumma Stealer: 26.000 Nutzer in Neuseeland infiziert

Cyberalarm im großen Stil: Neuseelands Cybersicherheitsbehörde warnt zehntausende Bürger direkt vor einer schwerwiegenden Malware-Infektion. Der „Lumma Stealer” hat Passwörter, Bankdaten und sogar Zugänge zu Regierungssystemen erbeutet – trotz internationaler Bemühungen, die Infrastruktur der Kriminellen zu zerschlagen.

Diese direkte Intervention zeigt: Die Bedrohung durch moderne Datendiebe erreicht eine neue Dimension.

Das National Cyber Security Centre (NCSC) Neuseelands verschickt seit Mittwoch E-Mail-Warnungen an rund 26.000 Betroffene. Ihre Daten tauchten in gestohlenen Datensätzen auf, die mit Lumma-Stealer-Infektionen verknüpft sind. Eine Kampagne dieser Größenordnung ist beispiellos für die Behörde.

„Schadsoftware dieser Art ist zwar verbreitet, aber die Zahl der nachweislich Betroffenen ist außergewöhnlich hoch”, erklärte Michael Jagusch, Chief Operating Officer des NCSC, bei einer Pressekonferenz. Die Behörde identifizierte die Opfer über internationale Austauschplattformen für Bedrohungsdaten.

Die Warnmails enthalten konkrete Hinweise: Windows-Geräte sind höchstwahrscheinlich infiziert. Nutzer sollen die Malware entfernen und kompromittierte Konten sofort absichern. Besonders brisant: Unter den gestohlenen Zugangsdaten fanden sich auch Schlüssel zu Regierungssystemen und Online-Banking-Konten.

Passend zum Thema gefälschte Verifizierungsseiten und Phishing‑Methoden: Ein kostenloses Anti‑Phishing‑Paket erklärt in einer praxiserprobten 4‑Schritte‑Anleitung, welche Anzeichen von gefälschten Seiten und Social‑Engineering‑Tricks Sie sofort erkennen müssen und wie Sie Browser, Passwörter und Bankzugänge richtig absichern. Die Anleitung richtet sich an Nutzer und kleine Unternehmen, die schnelle Schutzmaßnahmen benötigen. Jetzt Anti‑Phishing‑Guide herunterladen

Wie der digitale Dieb arbeitet

Lumma Stealer – auch LummaC2 genannt – ist seit 2022 als „Malware-as-a-Service” verfügbar. Cyberkriminelle mieten die Software auf Darknet-Plattformen bereits ab 250 Dollar monatlich. Die Malware zielt gezielt auf sensible Daten:

• Browser-Passwörter: Gespeicherte Zugangsdaten aus Chrome, Edge und Firefox
• Krypto-Wallets: Private Schlüssel für Bitcoin, Ethereum und andere digitale Vermögenswerte
• Session-Cookies: Ermöglichen Kontoübernahmen ohne Passworteingabe
• Systemdaten: Hardware- und Software-Konfiguration des Opfers

Das Tückische: Die Software arbeitet im Hintergrund, ohne dass Nutzer etwas bemerken. Erst wenn Konten geplündert werden, fällt der Diebstahl auf.

Die perfide „CAPTCHA-Falle”

Wie gelangt die Malware überhaupt auf die Rechner? Sicherheitsforscher identifizierten Ende 2025 eine besonders raffinierte Methode: gefälschte CAPTCHA-Seiten, bekannt als „ClickFix”-Technik.

Das Schema funktioniert simpel, aber effektiv: Nutzer suchen nach Software, Filmen oder legitimen Tools. Eine scheinbar harmlose Webseite fordert zur „Verifizierung” auf – angeblich, um Bots auszuschließen. Die Anweisung: Einen Code kopieren und in das Windows-Dialogfeld „Ausführen” (Windows-Taste + R) einfügen.

Was harmlos klingt, ist fatal. Der Code startet ein PowerShell-Skript, das Lumma Stealer direkt in den Arbeitsspeicher lädt – ohne Spuren auf der Festplatte. Traditionelle Antivirenprogramme laufen ins Leere.

Weitere Verbreitungswege: manipulierte Software-Downloads und Phishing-Mails, die sich als Rechnungen oder Lieferbenachrichtigungen tarnen.

Zerschlagen und wiederauferstanden

Die Widerstandsfähigkeit von Lumma Stealer offenbart die Schwächen klassischer Abwehrstrategien. Im Mai 2025 beschlagnahmten FBI, Europol und Partner aus der Privatwirtschaft über 2.300 Domains, die zur Steuerungsinfrastruktur der Malware gehörten.

Doch schon im Juli meldeten Sicherheitsfirmen: Die Betreiber sind zurück. Sie verlagerten ihre Infrastruktur, nutzten dezentrale Kontrollmethoden – und erreichten die Infektionszahlen, die jetzt ans Licht kommen.

„Die Cybercrime-Industrie hat sich professionalisiert”, konstatiert Jagusch. Der niedrige Mietpreis senkt die Einstiegshürde dramatisch. Selbst Kriminelle ohne technisches Fachwissen können verheerende Kampagnen starten.

Neue Strategie: Direkt zum Bürger

Die direkte Benachrichtigung durch das NCSC markiert einen Strategiewechsel. Statt allein auf Internetprovider oder generelle Warnungen zu setzen, gehen Behörden nun in die Offensive.

„Dieser proaktive Ansatz ist notwendig, weil die Zeit zwischen Infektion und Missbrauch schrumpft”, erklärt Sarah Jenkins, Senior-Analystin bei CyberGuard Solutions. „Früher lagen gestohlene Zugangsdaten monatelang ungenutzt. Heute testen automatisierte Bots die Passwörter binnen Stunden gegen Bank- und Shopping-Portale. Direkte Warnungen geben Nutzern eine Chance, ihre Konten zu sichern, bevor sie leergeräumt werden.”

Der Fall zeigt auch: Klassische „Takedown-Operationen” reichen nicht mehr. Das „Malware-as-a-Service”-Modell ermöglicht schnelle Verlagerungen. Cyberabwehr wird zum endlosen Katz-und-Maus-Spiel.

Was Nutzer jetzt tun müssen

Experten erwarten, dass Datendiebe wie Lumma 2026 weiter aufrüsten – möglicherweise mit KI-gestützten Manipulationstechniken. Der Erfolg der „Fake-CAPTCHA”-Kampagne deutet darauf hin: Angreifer setzen zunehmend auf Psychologie statt auf reine Software-Schwachstellen.

Die wichtigsten Schutzmaßnahmen:

1. Niemals blind kopieren: Befehle von Webseiten gehören nicht in die Systemkonsole oder das „Ausführen”-Feld
2. Schutzprogramme aktualisieren: Antivirensoftware muss aktuell sein und heuristische Verhaltenserkennung unterstützen
3. Passwörter wechseln: Bei Verdacht oder nach Erhalt einer Warnung alle Zugangsdaten ändern – und zwar von einem anderen, sauberen Gerät

Das NCSC warnt ausdrücklich: Betrüger könnten versuchen, die offiziellen Warnmails zu imitieren. Anleitungen zur Bereinigung finden sich ausschließlich auf der offiziellen Regierungswebsite „Own Your Online”.

Klar ist: Der digitale Datenklau wird 2026 nicht verschwinden. Die Frage lautet nur noch, ob Nutzer und Behörden schneller reagieren als die Kriminellen.

Übrigens: Wenn Sie verhindern wollen, dass gestohlene Zugangsdaten binnen Stunden gegen Banken und Shops ausprobiert werden, hilft ein kostenloses Anti‑Phishing‑Paket mit konkreten Gegenmaßnahmen. Der Gratis‑Report erklärt psychologische Angriffsmuster (wie gefälschte Verifizierungsseiten und CEO‑Fraud), zeigt branchenspezifische Gefahren und liefert eine sofort anwendbare Checkliste zur Absicherung von E‑Mail‑ und Download‑Routinen. Gratis Anti‑Phishing‑Paket anfordern