Cyberangriffe, Attacken

Cyberangriffe: 415.000 Attacken via gefälschte Apps aufgedeckt

02.07.2026 - 21:18:08 | boerse-global.de

Kaspersky dokumentiert 415.000 Cyberattacken mit gefälschten Kommunikations-Apps und PowerShell-Skripten. Auch KMU sind zunehmend betroffen.

Kaspersky warnt: 415.000 Angriffe via Fake-Apps und PowerShell
Cyberangriffe - Person in Kapuzenjacke tippt auf Laptop, umgeben von Codezeilen und digitalen Schnittstellen, symbolisiert Cyberkriminalität. 02.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher schlagen Alarm: Hunderttausende Angriffe nutzen manipulierte Kommunikations-Apps und PowerShell-Skripte, um Unternehmen und Privatnutzer zu infiltrieren.

Hunderttausende Attacken aufgedeckt

Die russische Sicherheitsfirma Kaspersky hat einen massiven Anstieg von Cyberangriffen dokumentiert. Fast 415.000 Attacken wurden allein in den vergangenen Monaten registriert. Die Täter setzen dabei auf gefälschte Versionen beliebter Kommunikationsdienste wie Telegram, WhatsApp, Zoom und Microsoft Teams. Die Opfer werden auf betrügerische Download-Seiten gelockt – und schon der Klick auf den vermeintlich vertrauten Installer kann das System kompromittieren.

PowerShell als Einfallstor

Die Angreifer setzen zunehmend auf PowerShell-Skripte, um ihre Schadsoftware einzuschleusen. Kaspersky enthüllte am 1. Juli eine groß angelegte Kampagne mit über 90 betrügerischen Domains in zehn Sprachen. Ziel: die Verbreitung der Fernzugriffs-Trojaner AsyncRAT.

Die Infektionskette ist raffiniert. Über manipulierte Suchergebnisse – sogenanntes SEO-Poisoning – werden gefälschte Download-Seiten für Programme wie OBS Studio, DNS Jumper oder Bandicam ganz oben in den Suchergebnissen platziert. Wer dort zuschlägt, lädt sich eine Schadsoftware herunter.

Der eigentliche Angriff beginnt mit einer manipulierten Archivdatei. Über eine Technik namens DLL Side-Loading wird ein ScreenConnect-Dienst gestartet. Dieser führt ein PowerShell-Skript aus, das Windows Defender und die Benutzerkontensteuerung (UAC) deaktiviert. Anschließend erstellt das Skript mehrere Dateien in öffentlichen Benutzerverzeichnissen.

Um die Kontrolle dauerhaft zu sichern, installieren die Angreifer eine geplante Aufgabe namens MasterPackager.Updater, die alle zwei Minuten ausgeführt wird. Im letzten Schritt injiziert der Trojaner AsyncRAT in legitime Prozesse – und die Angreifer haben vollständigen Zugriff auf das System.

Anzeige

Über 415.000 Cyberangriffe nutzen gefälschte Apps und PowerShell-Skripte – oft unentdeckt. Mit der kostenlosen Checkliste erkennen Sie Einfallstore und schließen sie in drei Schritten. Sicherheits-Checkliste anfordern

Gefälschte Kommunikations-Apps boomen

Die Tarnung als vertrauenswürdige Kommunikationsplattform ist zum bevorzugten Einfallstor geworden. Besonders alarmierend: Die Zahl der Angriffe auf kleine und mittelständische Unternehmen mit gefälschten KI-Anwendungen hat sich zwischen Januar und April 2026 nahezu verfünffacht.

Das FBI warnte am 2. Juli vor der Phishing-as-a-Service-Plattform Kali365. Erstmals im April beobachtet, wird dieser Dienst vor allem über Telegram-Kanäle beworben. Kali365 zielt auf Microsoft-365-Konten ab und nutzt eine Schwachstelle im OAuth-2.0-Geräte-Autorisierungsfluss.

Die Masche: Opfer erhalten eine Phishing-Mail mit einem Gerätecode. Geben sie diesen auf einer legitimen Microsoft-Seite ein, können die Angreifer die Authentifizierungstoken abgreifen. Damit umgehen sie sogar die Multi-Faktor-Authentifizierung und erhalten Zugriff auf Outlook, Teams und OneDrive.

Dateilose Angriffe auf dem Vormarsch

Ein weiterer Trend: Dateilose Schadsoftware, die keine Spuren auf der Festplatte hinterlässt. Die Sicherheitsfirma Securonix dokumentierte die Kampagne VEIL#DROP. Hier nutzen Angreifer gefälschte PDF-Dateien mit JavaScript-Code, um PowerShell zu starten. Dieses lädt dann die eigentliche Schadsoftware von harmlosen Blogger-Seiten nach.

Anzeige

Betrifft Ihr Unternehmen dateilose Malware? Die Checkliste zeigt, wie Sie gefälschte Apps identifizieren, PowerShell blockieren und Schadsoftware aufspüren – ohne teure Tools. Checkliste per E-Mail sichern

Die Täter verwenden sogenannte Living-off-the-Land-Binaries – also legitime Windows-Werkzeuge wie RegSvcs und MSBuild – um den PureLogs Stealer auszuführen. Dieser Infostealer sammelt Browser-Zugangsdaten, Cookies und Kryptowährungs-Wallets.

Besonders perfide: Ähnliche Angriffe zielen auf Softwareentwickler ab. Gefälschte Versionen von KI-Programmierwerkzeugen schleusen Infostealer wie Amatera auf Windows- und AMOS auf macOS-Systeme ein. Wer sich also vermeintlich ein nützliches Tool herunterlädt, öffnet den Angreifern gleich die ganze digitale Werkzeugkiste.

de | wissenschaft | 69676203 |