Lumma Stealer: Neuseelands Behörden warnen 26.000 Bürger

Eine massive Angriffswelle mit Windows-Schadsoftware zwingt die neuseeländische Regierung zum Handeln. Das National Cyber Security Centre (NCSC) informiert derzeit Zehntausende Bürger direkt per E-Mail über infizierte Geräte – ein beispielloser Schritt, der die Dimension der Bedrohung verdeutlicht.

Die betroffene Malware „Lumma Stealer” stiehlt Passwörter, Bankdaten und Krypto-Wallets. Besonders brisant: Die Schadsoftware floriert weiterhin, obwohl internationale Ermittler im Mai dieses Jahres ihre Infrastruktur zerschlagen hatten. Was macht diesen Trojaner so gefährlich?

Am 9. Dezember startete das NCSC eine Warnkampagne historischen Ausmaßes. Etwa 26.000 Neuseeländer erhielten direkte E-Mails mit der Nachricht: Ihr Computer ist vermutlich kompromittiert. „Wir kontaktieren erstmals eine so große Gruppe direkt”, erklärt Michael Jagusch, Chief Operating Officer des NCSC.

Die Behörde arbeitet dabei mit Banken und Regierungsstellen zusammen. Viele Betroffene konnten über diese Partner erreicht werden – doch Tausende blieben übrig. Die Behörde sah sich gezwungen, selbst aktiv zu werden.

Neue Social‑Engineering-Tricks wie „ClickFix” zeigen, wie schnell Angreifer Systeme kompromittieren – und wie viele Organisationen zu wenig vorbereitet sind. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, typische Angriffsmuster und sofort umsetzbare Kontrollen, mit denen Sie Geräte, Sessions und Zugänge besser absichern können. Ideal für IT‑Verantwortliche und technisch interessierte Nutzer, die Risiken sofort reduzieren wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Die Ironie der Aktion? Das NCSC musste öffentlich bestätigen, dass die Warn-Mails echt sind. Schließlich setzen Cyberkriminelle genau auf solche gefälschten Sicherheitswarnungen. Ein Teufelskreis, den die Malware-Betreiber perfekt ausnutzen.

Der perfide Trick: „ClickFix”

Lumma Stealer nutzt keine Software-Schwachstellen. Stattdessen setzt die Schadsoftware auf eine raffinierte Täuschung namens „ClickFix” – eine Methode, die sich Ende 2025 rasant verbreitet hat.

So funktioniert die Falle: Nutzer landen auf manipulierten Webseiten oder klicken auf präparierte Werbebanner. Statt eines klassischen Downloads erscheint ein gefälschtes CAPTCHA oder eine „Sicherheitsabfrage”. Die Seite fordert den Nutzer auf, einen Code zu kopieren und in die Windows-Eingabeaufforderung einzufügen – angeblich zur Verifizierung.

Wer diesem Schritt folgt, lädt die Malware direkt ins System. Der Clou: Browser-Schutzmaßnahmen laufen ins Leere, da der Nutzer selbst die Ausführung autorisiert. Lumma Stealer läuft anschließend im Speicher und beginnt sofort mit dem Datenklau:

• Login-Daten für E-Mail und Social Media
• Session-Cookies (umgehen Zwei-Faktor-Authentifizierung)
• Krypto-Wallet-Dateien und Browser-Erweiterungen
• Bankverbindungen

Herkömmliche Antivirenprogramme schlagen oft nicht an, da kein verdächtiger Download stattfindet. Die Nutzer werden zum Komplizen ihrer eigenen Infektion.

Comeback nach dem großen Schlag

Dass Lumma Stealer überhaupt noch aktiv ist, überrascht Sicherheitsexperten. Im Mai 2025 hatten Microsoft, Europol und das FBI gemeinsam zugeschlagen: Über 2.300 Domains, die zur Steuerung der Malware dienten, wurden beschlagnahmt.

Damals berichtete Microsoft von 394.000 infizierten Windows-Geräten innerhalb von nur zwei Monaten. Die Aktion trennte die Schadsoftware vorübergehend von ihren Betreibern. Doch die Kriminellen gaben nicht auf.

Analysten beobachten, dass die Lumma-Betreiber ihre Infrastruktur neu aufgebaut haben. Sie nutzen nun legitime Cloud-Dienste und dezentrale Blockchain-Technologie, um Skripte zu hosten. Das Ergebnis: Die neuen Kommando-Server sind deutlich schwerer zu blockieren.

Lumma funktioniert als „Malware-as-a-Service” (MaaS) – die Entwickler vermieten ihre Software an andere Kriminelle. Ein lukratives Geschäftsmodell mit niedriger Einstiegshürde, das die schnelle Wiederkehr nach dem Mai-Schlag erklärt.

Regierungen ändern ihre Strategie

Die direkte Kontaktaufnahme durch das NCSC markiert einen Strategiewechsel im Kampf gegen Cyberkriminalität. Statt auf Internet-Provider oder automatische Filter zu setzen, nutzen Behörden zunehmend Geheimdienstdaten, um Opfer gezielt zu warnen.

„Solange Social Engineering funktioniert, werden wir Varianten dieser Kampagne sehen”, warnt ein Sicherheitsanalyst. Die Hürde für Angreifer sei niedrig, da die Malware als Dienstleistung gemietet werden könne. ClickFix dürfte sich weiterentwickeln, sobald Nutzer vorsichtiger mit gefälschten CAPTCHAs umgehen.

Für Windows-Nutzer gilt eine eiserne Regel: Keine seriöse Website fordert jemals auf, Code in die Windows-Eingabeaufforderung oder PowerShell zu kopieren. Wer diese Aufforderung sieht, sollte die Seite sofort schließen.

Was Betroffene jetzt tun müssen

Das NCSC empfiehlt bei Verdacht auf eine Infektion sofortiges Handeln: Gerät vom Netzwerk trennen und vollständigen Virenscan durchführen. Da Lumma Stealer Session-Cookies stiehlt, reicht ein Passwort-Wechsel allein nicht aus.

Wichtige Schritte:
* Alle Passwörter von einem sauberen Gerät aus zurücksetzen
* Aktive Web-Sessions abmelden
* Zwei-Faktor-Authentifizierung aktivieren

Eine Warnung bleibt: Session-Hijacking kann auch 2FA aushebeln, wenn das Gerät selbst kompromittiert ist. Die gründliche Bereinigung des Systems hat absolute Priorität.

PS: Sie nutzen Windows und möchten verhindern, dass Schadsoftware wie Lumma Stealer Ihre Daten stiehlt? Der kompakte Gratis‑Leitfaden fasst aktuelle Bedrohungen und sofort umsetzbare Schutzschritte zusammen – von Netzwerktrennung über Session‑Kontrollen bis zu sicheren Prüfprotokollen. Perfekt für Entscheider, IT‑Verantwortliche und technisch interessierte Nutzer, die ihre Geräte schnell absichern wollen. Cyber‑Security‑Awareness‑Report jetzt anfordern