Storm-2561 tarnt Schadsoftware als Cisco- und Google-Apps

Eine neue Welle raffinierter Malware-Angriffe zielt auf Windows-Nutzer, indem sie sich als alltägliche Bürosoftware tarnt. Die Bedrohungslage für Unternehmen verschärft sich durch den gezielten Missbrauch von Markenvertrauen und digitalen Signaturen.

Am 13. März 2026 veröffentlichten Cybersicherheitsforscher und Microsoft Threat Intelligence neue Details zu einer groß angelegten Kampagne. Die als Storm-2561 bekannte Bedrohungsgruppe nutzt gezielt manipulierte Suchergebnisse, um gefälschte VPN-Clients von Marken wie Cisco, Fortinet und Ivanti zu verbreiten. Parallel dazu meldete Malwarebytes Labs eine separate Attacke, die über gefälschte Google-Meet-Updates native Windows-Funktionen ausnutzt.

Während Cyberkriminelle gezielt Unternehmen ins Visier nehmen, bleiben auch private Geräte ein beliebtes Einfallstor für Datendiebe. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihre wichtigsten Apps und persönlichen Daten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gefälschte VPN-Software infiltriert Firmennetze

Die Storm-2561-Gruppe hat eine effektive Methode perfektioniert, um in Unternehmensumgebungen einzudringen. Sie manipuliert die Suchergebnisse auf Plattformen wie Bing. Nutzer, die nach seriöser Enterprise-Software suchen, werden so auf bösartige, von den Angreifern kontrollierte Websites geleitet.

Diese betrügerischen Seiten bieten ZIP-Dateien mit MSI-Installern an, die legitimen VPN-Programmen täuschend ähnlich sehen. Während der Installation lädt die Software heimlich schädliche DLL-Dateien nach. Das Ziel: Die Infiltration mit einer Variante des Hyrax-Information-Stealers. Diese Malware stiehlt Unternehmenszugangsdaten und ermöglicht Angreifern so den unbefugten Zugriff auf sichere Netzwerke.

Besonders tückisch ist der Missbrauch vertrauenswürdiger Plattformen wie GitHub zum Hosten der Schadsoftware. Durch die Kombination aus seriösen Hosting-Diensten und manipulierten Suchergebnissen umgehen die Angreifer erste Netzwerkfilter und nutzen das inhärente Vertrauen der Nutzer in Top-Suchresultate aus.

Tarnung als Collaboration-Tools nimmt zu

Die Angriffsmuster werden vielfältiger. Neben VPN-Clients tarnen Cyberkriminelle ihre Schadsoftware zunehmend als allgegenwärtige Kommunikationstools. Ein aktueller Bericht beschreibt Living-Off-the-Land-Angriffe, bei denen gefälschte Google-Meet-Updates legitime Windows-Fienste für die Geräteregistrierung kapern.

Laut Malwarebytes läuft diese Kampagne über einen Angriffsserver, der auf einer seriösen Mobile-Device-Management-Plattform gehostet wird. Dieser Ansatz umgeht die Notwendigkeit, eigenständige ausführbare Dateien auf dem Zielrechner abzulegen. Stattdessen nutzt er die vorhandene Infrastruktur des Betriebssystems für den Angriff.

Angesichts der rasanten Entwicklung von KI-gestützten Angriffen und neuen gesetzlichen Anforderungen stehen viele Firmen vor großen Herausforderungen. Der aktuelle Experten-Report liefert Ihnen wertvolle Strategien, um die IT-Sicherheit Ihres Unternehmens ohne Budget-Explosion nachhaltig zu stärken. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Dies passt zu Warnungen von Microsoft aus dem März 2026 vor Phishing-Kampagnen mit gefälschten PDF-Anhängen und Meeting-Einladungen. Diese Köder leiten Nutzer dazu an, bösartige Dateien herunterzuladen, die als Microsoft Teams, Zoom oder Adobe Acrobat Reader getarnt sind. Zur Tarnung wurden die Dateien mit einem Extended-Validation-Zertifikat der firma „TrustConnect Software PTY LTD“ digital signiert. Diese gültige Signatur verleiht der Schadsoftware einen Anschein von Legitimität und umgeht so traditionelle Sicherheitsabfragen des Systems.

Tarnkappen-Strategie mit legitimen Admin-Tools

Nach der Ausführung der gefälschten Apps beginnt die eigentliche Systemkompromittierung. Statt sofort zerstörerische Payloads wie Ransomware zu installieren, laden diese gefälschten Kommunikations-Apps oft legitime Fernwartungs-Tools wie ScreenConnect, Tactical RMM oder MeshAgent herunter.

Indem sie Software nutzen, die IT-Abteilungen normalerweise für die Systemadministration verwenden, können die Angreifer persistente Backdoors einrichten. Diese mischen sich nahtlos in den normalen Netzwerkverkehr ein. Zur Tarnung registriert die Malware die kopierten Programme als Windows-Dienste in vertraut wirkenden Verzeichnispfaden – beispielsweise im Adobe-Acrobat-Reader-Ordner. So starten die schädlichen Prozesse bei jedem Systemneustart automatisch wieder.

Ein weiterer Trick ist die Ausnutzung der kürzlich veröffentlichten „Zombie-ZIP“-Schwachstelle. Angreifer manipulieren dabei ZIP-Datei-Header so, dass komprimierte Daten als unkomprimiert erscheinen. Für Scansoftware sieht der bösartige Inhalt dann wie zufällige Bytes aus und passt auf keine bekannte Malware-Signatur. Diese einfache, aber effektive Tarnmethode umgeht laut Berichten über 95 Prozent gängiger Antivirenlösungen.

Branchenweite Folgen: Das Vertrauensmodell bröckelt

Die strategische Hinwendung zur Imitation legitimer Software und zum Missbrauch gültiger Zertifikate markiert eine fundamentale Evolution der Cyberbedrohungen. Branchenanalysten stellen fest, dass traditionelle Antiviren-Tools, die stark auf das Scannen nach bekannten Malware-Signaturen setzen, gegen diese Täuschungsmanöver zunehmend wirkungslos sind.

Die Kombination aus SEO-Poisoning, Missbrauch von EV-Zertifikaten und der Kaperung nativer Windows-Tools macht Nutzerschulungen und strikte Anwendungskontrollen wichtiger denn je. Das traditionelle Vertrauensmodell, bei dem eine gültige digitale Signatur für Sicherheit bürgt, reicht nicht mehr aus.

Experten raten Unternehmen daher vermehrt zur Implementierung von Zero-Trust-Netzwerkarchitekturen und fortsrittlichen Endpoint-Detection-and-Response-Lösungen (EDR). Diese modernen Abwehrrahmen konzentrieren sich auf die Überwachung anomalen Verhaltens und unerlaubter Rechteausweitung, statt sich nur auf statische Dateianalysen zu verlassen.

Ausblick: KI-gestützte Angriffe erfordern dynamischere Abwehr

Da Remote-Arbeit und Cloud-basierte Collaboration-Tools die moderne Arbeitswelt prägen, werden Bedrohungsakteure ihre Software-Imitationstechniken weiter verfeiner. Cybersicherheitsforscher rechnen mit einem Anstieg des Einsatzes von Künstlicher Intelligenz, um überzeugende Phishing-Köder und dynamische Malware-Payloads zu generieren – ein Trend, der sich bereits mit der Entdeckung KI-generierter Frameworks wie Slopoly im März 2026 abzeichnet.

Um diesen eskalierenden Risiken zu begegnen, müssen Sicherheitsteams strengere Software-Ausführungsrichtlinien durchsetzen. Microsoft empfiehlt den Einsatz von Tools wie Windows Defender Application Control oder AppLocker, um definitive Richtlinien zu erstellen. Diese sollten nicht genehmigte IT-Management-Software blockieren – selbst wenn sie eine gültige digitale Signatur trägt.

Administratoren sollten zudem die Ausführung unsignierter Skripte einschränken und die Nutzung administrativer Tools in ihren Netzwerken überwachen. Das fortwährende Wettrüsten zwischen Cyberkriminellen und Netzwerkverteidigern erfordert kontinuierliche Anpassung. Proaktive Bedrohungsjagd und rigorose Zugangskontrollen werden entscheidend sein, um sich gegen immer raffiniertere Infiltrationsmethoden zu wappnen.