Windows-Sicherheit: Neue Malware-Welle trifft WhatsApp und Entwickler

Doppelangriff auf Windows-Nutzer: Über WhatsApp verbreitet sich eine raffinierte Fernzugriff-Software, während eine kompromittierte JavaScript-Bibliothek Millionen Entwickler-Projekte infiziert hat. Microsoft reagiert mit einer grundlegenden Änderung der Kernel-Sicherheit.

Die erste Aprilwoche 2026 bringt eine neue Stufe der Cyber-Bedrohung für Windows-Systeme ans Licht. Sicherheitsforscher melden parallel laufende, hochsophistizierte Angriffskampagnen. Diese kombinieren Social Engineering über beliebte Messenger mit einem massiven Supply-Chain-Angriff auf eine der meistgenutzten Entwickler-Bibliotheken. Hinter den Attacken stehen laut Microsoft und unabhängigen Cybersicherheitsfirmen ausgeklügelte Strategien, bei denen Angreifer vertrauenswürdige Anwendungen und legitime Systemwerkzeuge missbrauchen, um Sicherheitsbarrieren zu umgehen. Diese neuen Bedrohungen treffen zeitgleich auf eine grundlegende Verschärfung der Windows-Kernel-Sicherheitsrichtlinien, die bösartige Treiber aussperren soll.

Angesichts der neuen Welle von Fernzugriffs-Trojanern und manipulierten Systemwerkzeugen ist ein proaktiver Schutz Ihres Rechners wichtiger denn je. Der Gratis-Ratgeber der PC-Experten macht Ihren Rechner zur Festung gegen Viren und Hacker. Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schwören

WhatsApp Desktop als Einfallstor für Fernzugriffs-Trojaner

Am 2. April 2026 warnte das Microsoft Defender Security Research Team vor einer neuen Malware-Kampagne, die speziell Windows-Nutzer über die WhatsApp Desktop-Anwendung angreift. Der Angriff beginnt mit einer Social-Engineering-Falle: Opfer erhalten eine Nachricht, die eine bösartige Visual Basic Script (VBS)-Datei enthält. Die Nachrichten scheinen von vertrauten Kontakten zu stammen, doch das angehängte Skript startet eine komplexe Infektionskette. Ihr Ziel: Angreifern vollen Fernzugriff auf das kompromittierte System zu verschaffen.

Wird die VBS-Datei ausgeführt, nutzt die Malware sogenannte Living-off-the-Land-Techniken (LOTL), um unentdeckt zu bleiben. Das Skript erstellt versteckte Verzeichnisse im System und legt umbenannte Versionen legitimer Windows-Utilities ab. So wird beispielsweise das Standard-Tool curl.exe in netapi.dll umbenannt und bitsadmin.exe in sc.exe. Indem sie diese vertrauenswürdigen Binärdateien unter trügerischen Namen nutzen, können die Angreifer Netzwerkoperationen durchführen und weitere Schadsoftware nachladen – ohne viele statische Virenscanner zu alarmieren.

Die Kampagne lädt sekundäre Payloads von seriösen Cloud-Hosting-Diensten wie Amazon Web Services (AWS), Tencent Cloud und Backblaze B2 herunter. Diese Taktik lässt den bösartigen Datenverkehr mit legitimer Unternehmens-Cloud-Aktivität verschmelzen. In der finalen Infektionsphase werden bösartige Microsoft Installer (MSI)-Pakete installiert, oft getarnt als gängige Software-Updates für WinRAR oder AnyDesk. Diese Installer richten eine permanente Hintertür ein. Sie ermöglichen es den Angreifern, Berechtigungen zu eskalieren und die User Account Control (UAC)-Einstellungen zu ändern, um die administrative Kontrolle über den infizierten Rechner zu behalten.

Nordkoreanische Hacker hinter Angriff auf Axios-Bibliothek

Parallel zu den Messenger-basierten Bedrohungen erschüttert ein schwerwiegender Supply-Chain-Angriff die Windows-Entwicklergemeinschaft. Am 31. März 2026 identifizierten Sicherheitsanalysten bösartige Versionen von Axios, einem weit verbreiteten JavaScript-HTTP-Client mit über 100 Millionen wöchentlichen Downloads. Die Kompromittierung erfolgte, nachdem das npm-Konto eines führenden Maintainers übernommen worden war. Die Angreifer konnten so die vergifteten Versionen 1.14.1 und 0.30.4 der Bibliothek veröffentlichen.

Während Kriminelle immer raffiniertere Wege über vertrauenswürdige Software finden, bleiben viele Windows-Rechner durch unsichtbare Spionage-Programme gefährdet. Ein kostenloser Experten-Report zeigt, wie Sie sich in wenigen Schritten effektiv schützen. Wie ausgespäht ist Ihr Windows-PC wirklich? Entdecken Sie die Antwort hier

Microsoft Threat Intelligence schreibt diese Aktivität der nordkoreanischen, staatlich unterstützten Gruppe Sapphire Sleet zu. Die bösartigen Updates führten eine Phantom-Abhängigkeit ein, die bei der Installation einen Post-Install-Hook ausführt. Dieser Hook ist darauf ausgelegt, ein plattformübergreifendes Remote Access Trojan (RAT) bereitstellen, das auf das Betriebssystem des Opfers zugeschnitten ist. Auf Windows-Rechnern führt das RAT eine umfangreiche Systemaufklärung durch und baut eine Verbindung zur Command-and-Control (C2)-Infrastruktur der Angreifer auf.

Berichte von Trend Micro und Palo Alto Networks' Unit 42 zeigen, dass die Malware ausgeklügelte Anti-Forensik-Fähigkeiten besitzt. Nach erfolgreicher Etablierung der Persistenz sind die schädlichen Komponenten darauf programmiert, sich selbst zu zerstören. Sie ersetzen sich durch saubere Köderdateien, um Spuren des initialen Einbruchs zu verwischen. Angesichts der Popularität von Axios in der modernen Webentwicklung ist das potenzielle Ausmaß der Schäden enorm. Es betrifft Organisationen in den Bereichen Finanzen, Technologie und Regierung. Sicherheitsteams raten Entwicklern derzeit, auf die verifizierten Versionen 1.14.0 oder 0.30.3 zurückzustufen und alle Geheimnisse oder Zugangsdaten zu wechseln, die während der Kompromittierung möglicherweise offengelegt wurden.

Microsoft verschärft Richtlinien für Kernel-Treiber

Als Reaktion auf die anhaltende Bedrohung durch Kernel-Level-Exploits hat Microsoft für April 2026 eine neue Sicherheitsrichtlinie eingeführt. Sie ändert grundlegend, wie Windows 11 mit Treibern von Drittanbietern umgeht. Das Update behebt eine langjährige Schwachstelle im "Cross-Signed Root Program". Dieses veraltete System erlaubte es, dass Treiber von externen Autoritäten mit begrenzter Sicherheitsaufsicht zertifiziert wurden. Jahrelang nutzten Bedrohungsakteure dieses System, indem sie gestohlene Signaturschlüssel oder manipulierte Treiber verwendeten, um bösartigen Code direkt in den Windows-Kernel zu injizieren.

Gemäß der neuen Richtlinie vertraut Windows 11 standardmäßig nur noch Treibern, die durch das offizielle Windows Hardware Compatibility Program (WHCP) zertifiziert wurden. Diese Verschiebung stellt sicher, dass jeder Treiber strenge Malware-Scans und Kompatibilitätstests bei Microsoft durchläuft, bevor er in den sensibelsten Teil des Betriebssystems geladen werden darf. Um Störungen für legitime Nutzer zu minimieren, führt Microsoft diese Änderung mit einer 100-stündigen Evaluierungsphase für bestehende Systeme ein. In dieser Zeit prüft der Kernel die Treiberkompatibilität, bevor die strengere Durchsetzung dauerhaft wird.

Dieser Schritt ist Teil einer breiteren Anstrengung, "Bring Your Own Vulnerable Driver" (BYOVD)-Angriffe zu neutralisieren. Diese sind zu einem Markenzeichen fortgeschrittener, andauernder Bedrohungsgruppen (APT) geworden. Indem Microsoft den Pfad für die Ausführung auf Kernel-Ebene verengt, will das Unternehmen die Kosten und die Komplexität für Angreifer deutlich erhöhen, die das höchste Maß an Systemprivilegien erlangen wollen. Analysten gehen davon aus, dass dies zwar nicht alle Malware stoppen wird, aber einen der gefährlichsten Wege für persistente, unentdeckbare Infektionen effektiv schließt.

Die Zukunft: Fileless-Angriffe und KI-Obfuskation

Das Zusammentreffen dieser Malware-Kampagnen unterstreicht einen bedeutenden Wandel in der Cyber-Bedrohungslandschaft für 2026. Angreifer bewegen sich zunehmend von traditioneller dateibasierter Malware weg hin zu fileless Operationen und dem Missbrauch legitimer Systemkomponenten. Die von ReliaQuest-Forschern Ende März identifizierte "DeepLoad"-Kampagne verdeutlicht diesen Trend weiter. Sie nutzt KI-gestützte Verschleierung und die "ClickFix"-Technik. Diese Methode trickst Nutzer aus, bösartige PowerShell-Befehle auszuführen, die wie legitime Systemreparaturen aussehen. So kann die Malware Persistenz etablieren, ohne jemals eine traditionelle ausführbare Datei auf der Festplatte zu speichern.

Der Einsatz von KI zur Erzeugung polymorphen Codes und die gezielten Angriffe auf die Software-Lieferkette zeigen: Organisationen können sich nicht länger allein auf signaturbasierte Verteidigung verlassen. Experten weisen darauf hin, dass Verhaltensanalyse und identitätszentrierte Sicherheit die primären Schlachtfelder für die Windows-Sicherheit der Zukunft sein werden. Da Angreifer weiterhin das inhärente Vertrauen in Plattformen wie WhatsApp und das npm-Ökosystem ausnutzen, verlagert sich die Sicherheitslast hin zur kontinuierlichen Überwachung von Systemprozessen und der Implementierung von Zero-Trust-Architekturen.

In Zukunft rechnet die Cybersicherheits-Community mit einer zunehmenden Verbreitung von Hotpatching und automatisierten Sicherheitsupdates. Ab Mai 2026 soll Windows Autopatch Hotpatching standardmäßig für berechtigte Geräte aktivieren. Dies bietet einen schnelleren Weg, kritische Schwachstellen zu beheben, ohne einen Systemneustart zu erfordern. Dieser proaktive Ansatz, kombiniert mit den neuen Kernel-Schutzmaßnahmen, stellt einen großen Schritt hin zu einem widerstandsfähigeren Windows-Ökosystem dar. Der Erfolg dieser Maßnahmen wird jedoch davon abhängen, ob Organisationen die Übersicht über ihre zunehmend komplexen Software-Abhängigkeiten behalten und Nutzer kontinuierlich gegen raffinierte Social-Engineering-Taktiken schulen können.

boerse | 69060133 |