Cyberangriffe: 415.000 Attacken via gefälschte Apps aufgedeckt
02.07.2026 - 21:18:08 | boerse-global.de
Sicherheitsforscher schlagen Alarm: Hunderttausende Angriffe nutzen manipulierte Kommunikations-Apps und PowerShell-Skripte, um Unternehmen und Privatnutzer zu infiltrieren.
Hunderttausende Attacken aufgedeckt
Die russische Sicherheitsfirma Kaspersky hat einen massiven Anstieg von Cyberangriffen dokumentiert. Fast 415.000 Attacken wurden allein in den vergangenen Monaten registriert. Die Täter setzen dabei auf gefälschte Versionen beliebter Kommunikationsdienste wie Telegram, WhatsApp, Zoom und Microsoft Teams. Die Opfer werden auf betrügerische Download-Seiten gelockt – und schon der Klick auf den vermeintlich vertrauten Installer kann das System kompromittieren.
PowerShell als Einfallstor
Die Angreifer setzen zunehmend auf PowerShell-Skripte, um ihre Schadsoftware einzuschleusen. Kaspersky enthüllte am 1. Juli eine groß angelegte Kampagne mit über 90 betrügerischen Domains in zehn Sprachen. Ziel: die Verbreitung der Fernzugriffs-Trojaner AsyncRAT.
Die Infektionskette ist raffiniert. Über manipulierte Suchergebnisse – sogenanntes SEO-Poisoning – werden gefälschte Download-Seiten für Programme wie OBS Studio, DNS Jumper oder Bandicam ganz oben in den Suchergebnissen platziert. Wer dort zuschlägt, lädt sich eine Schadsoftware herunter.
Der eigentliche Angriff beginnt mit einer manipulierten Archivdatei. Über eine Technik namens DLL Side-Loading wird ein ScreenConnect-Dienst gestartet. Dieser führt ein PowerShell-Skript aus, das Windows Defender und die Benutzerkontensteuerung (UAC) deaktiviert. Anschließend erstellt das Skript mehrere Dateien in öffentlichen Benutzerverzeichnissen.
Um die Kontrolle dauerhaft zu sichern, installieren die Angreifer eine geplante Aufgabe namens MasterPackager.Updater, die alle zwei Minuten ausgeführt wird. Im letzten Schritt injiziert der Trojaner AsyncRAT in legitime Prozesse – und die Angreifer haben vollständigen Zugriff auf das System.
Über 415.000 Cyberangriffe nutzen gefälschte Apps und PowerShell-Skripte – oft unentdeckt. Mit der kostenlosen Checkliste erkennen Sie Einfallstore und schließen sie in drei Schritten. Sicherheits-Checkliste anfordern
Gefälschte Kommunikations-Apps boomen
Die Tarnung als vertrauenswürdige Kommunikationsplattform ist zum bevorzugten Einfallstor geworden. Besonders alarmierend: Die Zahl der Angriffe auf kleine und mittelständische Unternehmen mit gefälschten KI-Anwendungen hat sich zwischen Januar und April 2026 nahezu verfünffacht.
Das FBI warnte am 2. Juli vor der Phishing-as-a-Service-Plattform Kali365. Erstmals im April beobachtet, wird dieser Dienst vor allem über Telegram-Kanäle beworben. Kali365 zielt auf Microsoft-365-Konten ab und nutzt eine Schwachstelle im OAuth-2.0-Geräte-Autorisierungsfluss.
Die Masche: Opfer erhalten eine Phishing-Mail mit einem Gerätecode. Geben sie diesen auf einer legitimen Microsoft-Seite ein, können die Angreifer die Authentifizierungstoken abgreifen. Damit umgehen sie sogar die Multi-Faktor-Authentifizierung und erhalten Zugriff auf Outlook, Teams und OneDrive.
Dateilose Angriffe auf dem Vormarsch
Ein weiterer Trend: Dateilose Schadsoftware, die keine Spuren auf der Festplatte hinterlässt. Die Sicherheitsfirma Securonix dokumentierte die Kampagne VEIL#DROP. Hier nutzen Angreifer gefälschte PDF-Dateien mit JavaScript-Code, um PowerShell zu starten. Dieses lädt dann die eigentliche Schadsoftware von harmlosen Blogger-Seiten nach.
Betrifft Ihr Unternehmen dateilose Malware? Die Checkliste zeigt, wie Sie gefälschte Apps identifizieren, PowerShell blockieren und Schadsoftware aufspüren – ohne teure Tools. Checkliste per E-Mail sichern
Die Täter verwenden sogenannte Living-off-the-Land-Binaries – also legitime Windows-Werkzeuge wie RegSvcs und MSBuild – um den PureLogs Stealer auszuführen. Dieser Infostealer sammelt Browser-Zugangsdaten, Cookies und Kryptowährungs-Wallets.
Besonders perfide: Ähnliche Angriffe zielen auf Softwareentwickler ab. Gefälschte Versionen von KI-Programmierwerkzeugen schleusen Infostealer wie Amatera auf Windows- und AMOS auf macOS-Systeme ein. Wer sich also vermeintlich ein nützliches Tool herunterlädt, öffnet den Angreifern gleich die ganze digitale Werkzeugkiste.
