Malware-Kampagnen nutzen Gratis-Software als Köder

Cyberkriminelle locken Nutzer mit gefälschten Gratis-Programmen, gefakten Windows-Updates und sogar manipulierter KI in ausgeklügelte Fallen. Die Angriffe zielen jetzt auf ein breites Publikum.

Eine neue Welle raffinierter Malware-Kampagnen nutzt die öffentliche Nachfrage nach kostenloser Software aus und verwandelt vertrauenswürdige Download-Kanäle in wirksame Einfallstore für Cyberangriffe. In den letzten 72 Stunden warnten Sicherheitsforscher vor mehreren, unterschiedlichen Bedrohungen. Diese nutzen alles von raubkopierten Spielen und betrügerischen Social-Media-Anzeigen bis hin zu gefälschten Sicherheitstools und sogar KI-Plattformen, um Systeme zu kompromittieren. Die Vorfälle zeigen eine gefährliche Entwicklung: Cyberkriminelle gehen über simple virenverseuchte Dateien hinaus und setzen auf komplexe, mehrstufige Angriffe, um sensible Daten, Passwörter und Kryptowährungen zu stehlen.

Ihr PC gilt als ‚inkompatibel‘ für Windows 11? Dieser legale Weg funktioniert trotzdem. Die Gratis-PDF zeigt das Upgrade Schritt für Schritt – ohne neue Hardware und ohne Datenverlust. Kostenlosen Report zum Windows 11 Upgrade sichern

RenEngine-Malware: Von Spielen zu Profi-Software

Die jüngste bedeutende Bedrohung, die das Sicherheitsunternehmen Kaspersky am 24. Februar identifizierte, betrifft einen Malware-Loader namens „RenEngine“. Ursprünglich im März 2025 in raubkopierten Videospielen entdeckt, hat die Kampagne ihre Reichweite deutlich erweitert. Der Schädling wird nun über Dutzende Websites verbreitet, die geknackte Versionen beliebter Produktivitätssoftware wie Grafikdesign-Tools anbieten. Diese Entwicklung vergrößert das potenzielle Opferspektrum von der Gaming-Community auf ein viel breiteres Publikum aus Berufstätigen und Hobbyisten, die kostenlosen Zugang zu Premium-Anwendungen suchen. Die opportunistische Natur der Kampagne führte bereits zu Infektionen weltweit, unter anderem in Russland, Brasilien, der Türkei und Deutschland.

Gefälschte Windows-Updates via Facebook-Anzeigen

Eine weitere prominente Bedrohung nutzt bezahlte Werbeanzeigen auf großen Social-Media-Plattformen. Der Sicherheitsanbieter Malwarebytes warnte am 23. Februar vor einer Kampagne auf Facebook, die ein „kostenloses“ und „schnelles“ Upgrade auf Windows 11 bewirbt. Die Anzeigen verwenden offizielle Microsoft-Branding-Elemente, um legitim zu wirken, und zielen auf Nutzer ab, deren PCs die offiziellen Systemanforderungen nicht erfüllen.

Ein Klick auf den Link führt auf eine minutiös nachgebaute Kopie der offiziellen Microsoft-Windows-Downloadseite. Der einzige erkennbare Unterschied ist der Domain-Name, der geschickt die offiziellen Namenskonventionen von Microsoft imitiert. Statt eines Betriebssystem-Updates lädt der Nutzer einen Installer herunter, der heimlich schädlichen Code ausführt. Dieser Code ist darauf ausgelegt, eine breite Palette sensibler Informationen zu exfiltrieren, darunter gespeicherte Browser-Passwörter, Sitzungsdaten und Zugangsdaten für Krypto-Wallets. Die Kampagne setzt auf ausgefeilte Umgehungstechniken, um unentdeckt zu bleiben.

Das Trojanische Pferd: Wenn Sicherheitssoftware zur Gefahr wird

In einer besonders heimtückischen Kampagne verteilen Angreifer ein Remote-Access-Trojaner (RAT), indem sie ein legitimes, beliebtes Free-Antivirenprogramm imitieren. Eine als „Silver Fox APT“ bekannte Gruppe hat eine nahezu perfekte Kopie der Website von Huorong Security erstellt, einer in China weit verbreiteten kostenlosen Antivirenlösung. Über eine Typosquatting-Domain – also eine leicht falsch geschriebene Adresse – locken sie Nutzer auf die gefälschte Seite.

Wer die Software dort herunterlädt, erhält eine Datei, die wie ein Standard-Installer aussieht. Tatsächlich handelt es sich um eine trojanisierte Datei, die die mächtige Malware ValleyRAT einschleust. Diese öffnet den Angreifern eine Hintertür zum Computer des Opfers und gewährt ihnen weitreichende Fähigkeiten zur heimlichen Datendiebstahls und Systemkontrolle. Diese Methode ist besonders gefährlich, da sie sicherheitsbewusste Nutzer ins Visier nimmt, die aktiv versuchen, ihr System zu schützen.

Viele machen beim Test von Windows 11 diesen riskanten Fehler. Ein Leitfaden zeigt, wie Sie Datenverlust vermeiden und sicher ausprobieren. Jetzt kostenloses Windows 11 Starterpaket anfordern

KI als Mittäter: Neue Angriffsvektoren entstehen

Das Bedrohungsspektrum rund um Gratis-Downloads wird nicht nur breiter, sondern auch technisch anspruchsvoller. Forscher von Trend Micro berichteten am 23. Februar, dass eine Datendiebstahl-Malware namens Atomic Stealer (AMOS) ihre Verbreitungsmethode weiterentwickelt hat. Wurde sie zuvor über geknackte macOS-Software verbreitet, wird sie nun durch die Manipulation von KI-Agenten-Workflows auf Plattformen wie OpenClaw verteilt.

Bei diesem neuartigen Ansatz laden Angreifer Hunderte bösartiger „Skills“ auf KI-Agenten-Marktplätze. Diese Skills enthalten versteckte Anweisungen, die den KI-Agenten ausnutzen und ihn zu einem vertrauenswürdigen Mittelsmann machen, der den Nutzer täuscht. Die KI kann eine gefälschte, aber plausibel aussehende Systemanforderung vortäuschen und den Nutzer so dazu bringen, sein Passwort einzugeben – und damit die Infektion zu ermöglichen. Dies markiert einen bedeutenden Wandel: Statt einen Menschen direkt zu täuschen, manipulieren die Angreifer nun eine KI, die dann den Menschen täuscht.

Höchste Wachsamkeit ist geboten

Diese jüngsten Vorfälle zeigen kollektiv, dass die Verlockung kostenloser Software für Cyberkriminelle ein äußerst effektiver Köder bleibt. Die Taktiken werden raffinierter und verbinden Social Engineering mit technischen Exploits, die konventionelle Sicherheitsmaßnahmen umgehen. Die Nutzung legitimer Plattformen wie Facebook für Werbung, vertrauenswürdiger Cloud-Dienste zum Hosten von Malware und sogar von KI-Agenten als ahnungslose Komplizen zeigt, wie geschickt Angreifer die Nahtstellen des digitalen Ökosystems ausnutzen.

Der Strategiewechsel – von Nischen-Communities wie Gamern hin zu einem breiten Publikum über Produktivitätssoftware und System-Upgrades – zielt darauf ab, die potenzielle Opferzahl zu maximieren. Die Imitation von Sicherheitssoftware selbst untergräbt das Nutzervertrauen und macht den Versuch, sich zu schützen, zum Einfallstor. Experten betonen, dass diese Trends eine mehrschichtige Verteidigungsstrategie erfordern: nicht nur Antivirensoftware, sondern auch kritisches Nutzerbewusstsein und Skepsis gegenüber unaufgeforderten Angeboten – selbst auf vertrauenswürdigen Plattformen.

Nutzer sollten Software, insbesondere Betriebssysteme und Sicherheitstools, nur von offiziellen Entwickler-Websites und App-Stores beziehen. Windows-Updates werden beispielsweise über den integrierten Windows Update-Dienst bereitgestellt, nicht über Social-Media-Anzeigen. Angebote für kostenlose Versionen teurer kommerzieller Software sollten stets misstrauisch betrachtet werden. Die genaue Prüfung von Domain-Namen auf subtile Tippfehler und eine sichere HTTPS-Verbindung sind essentielle Verifikationsschritte. Da Angreifer zunehmend legitime Dienste für ihre Kampagnen nutzen, ist die Bedeutung von Aufklärung und Wachsamkeit kaum zu überschätzen.