Lumma Stealer: Neuseeland warnt 26.000 infizierte Windows-Nutzer

Gefälschte CAPTCHAs öffnen Hackern Tür und Tor – das neuseeländische Cyber-Sicherheitszentrum schlägt Alarm. Die Malware stiehlt Bankdaten, Passwörter und Krypto-Wallets. Deutschland dürfte das nächste Ziel sein.

Das National Cyber Security Centre (NCSC) in Wellington startete am Mittwoch eine beispiellose Warnaktion: 26.000 Nutzer erhielten direkte E-Mail-Warnungen, dass ihre Windows-Geräte mit dem Schadprogramm Lumma Stealer infiziert sind. Bankkontodaten, Passwörter und Kryptowährungen sind in akuter Gefahr.

„Schadsoftware dieser Art ist durchaus verbreitet, aber die Anzahl betroffener Neuseeländer ist außergewöhnlich hoch”, erklärte Michael Jagusch, Betriebsleiter des NCSC. Es handelt sich um die erste Massenaktion dieser Größenordnung in der Geschichte der Behörde.

Diese gefälschten CAPTCHAs sind eine neue Phishing-Strategie, die PowerShell-Befehle ausnutzt und Nutzer zur Installation von Schadsoftware verleitet. In unserem kostenlosen Anti-Phishing-Paket lernen Sie in vier konkreten Schritten, wie Sie gefälschte Verifikationsseiten erkennen, gefährliche Anweisungen identifizieren und Browser- sowie Systemschutz korrekt konfigurieren. Enthalten sind praxisnahe Checklisten für Privatnutzer und Unternehmen sowie Hinweise zur Schulung von Mitarbeitern. So minimieren Sie das Risiko von Datenverlust und Kontoübernahmen. Anti-Phishing-Paket jetzt herunterladen

Doch die 26.000 gemeldeten Fälle sind vermutlich nur die Spitze des Eisbergs. Das NCSC erfuhr von den Infektionen durch internationale Warnplattformen – ein Hinweis darauf, dass die weltweite Opferzahl erheblich höher liegt.

Die Falle: Wenn CAPTCHA zur Gefahr wird

Die Angreifer setzen auf eine perfide Täuschung, die selbst vorsichtige Nutzer in die Falle lockt. Statt klassischer Viren nutzt Lumma Stealer Social Engineering-Methoden, bei denen die Opfer sich quasi selbst infizieren.

So funktioniert der Angriff im Detail: Nutzer landen über kompromittierte Websites oder bösartige Werbeanzeigen auf einer täuschend echt wirkenden Seite zur „menschlichen Verifikation”. Doch statt Ampeln oder Busse anzuklicken, erscheint die Anweisung, einen Code zu kopieren und in das Windows-Dialogfeld „Ausführen” einzufügen – angeblich, um die eigene Menschlichkeit zu beweisen.

Was folgt, ist verheerend: Mit dieser simplen Aktion umgehen die Angreifer sämtliche Browser-Sicherheitsvorkehrungen. Ein PowerShell-Befehl lädt die Schadsoftware direkt auf den Computer und installiert sie unbemerkt.

Die erbeuteten Daten umfassen gespeicherte Login-Daten aus dem Browser, Kryptowährungs-Wallets samt privaten Schlüsseln und sogar Zwei-Faktor-Authentifizierungs-Tokens. Letztere ermöglichen es Kriminellen, zusätzliche Sicherheitsmechanismen zu umgehen.

Comeback eines Totgesagten

Die aktuelle Angriffswelle zeigt eindrucksvoll, wie widerstandsfähig das Geschäftsmodell „Malware-as-a-Service” geworden ist. Bereits im Mai 2025 hatten FBI, Europol und Microsoft in einer koordinierten Aktion rund 2.300 Domains beschlagnahmt, die zur Infrastruktur von Lumma Stealer gehörten. Damals schätzten Ermittler die Zahl infizierter Systeme weltweit auf über zehn Millionen.

Dennoch kehrte die Malware zurück – stärker als zuvor. Die Entwickler verkaufen Zugang zu ihrer Software im Darknet für monatliche Abogebühren zwischen 210 und 850 Euro. Durch ständig wechselnde Domains und die Nutzung legitimer Plattformen zur Verbreitung entziehen sie sich langfristigen Gegenmaßnahmen.

„Die Cybercrime-Branche hat sich professionalisiert. Diese Malware kann heute jeder kaufen, egal wo auf der Welt”, warnt Jagusch. Ein besorgniserregender Befund: Der illegale Markt funktioniert inzwischen nach denselben Prinzipien wie legale Software-Abonnements.

Risiko für Unternehmen steigt

Die Infektion privater Geräte birgt massive Gefahren für Firmennetzwerke. Homeoffice und „Bring Your Own Device”-Richtlinien haben die Grenzen zwischen privater und beruflicher IT-Nutzung verwischt. Ein einziger infizierter Heimcomputer kann Angreifern als Einfallstor für Unternehmensdaten dienen.

Sicherheitsexperten betonen: Keine seriöse Website wird jemals verlangen, PowerShell-Befehle auszuführen oder Code in das Windows-Dialogfeld „Ausführen” einzugeben. Diese spezifische Anweisung ist das Erkennungsmerkmal der „ClickFix”-Angriffe.

Was Nutzer jetzt tun sollten

Antivirensoftware aktualisieren steht an erster Stelle – ob Windows Defender oder Programme von Drittanbietern. App-basierte oder Hardware-gestützte Zwei-Faktor-Authentifizierung bietet besseren Schutz als SMS-Codes, da sie schwerer zu stehlen ist.

Besondere Vorsicht gilt bei unaufgeforderten E-Mails, die angeblich von Behörden stammen. Diese sollten ausschließlich über offizielle Kanäle verifiziert werden. Die neuseeländischen Warnungen laufen beispielsweise über das Portal ownyouronline.govt.nz.

Der Kampf gegen Lumma Stealer ist offensichtlich nicht gewonnen. Die Massenaktion dieser Woche belegt: In der Welt der Malware-as-a-Service-Anbieter bedeutet eine Zerschlagung oft nur eine vorübergehende Betriebspause.

PS: Schützen Sie Ihr Netzwerk, bevor Kriminelle über ein infiziertes Heimgerät eindringen. Das Anti-Phishing-Paket erläutert kompakt, wie Sie E‑Mails, gefälschte Verifikationsseiten und manipulierte Werbeanzeigen sicher erkennen und welche organisatorischen Maßnahmen Firmen sofort umsetzen sollten. Der Leitfaden ist gratis zum Download und enthält praxisnahe Vorlagen für Mitarbeiterschulungen. Ideal für IT-Verantwortliche und Entscheider, die ohne großen Aufwand das Risiko senken wollen. Jetzt Anti-Phishing-Guide sichern