CypherLoc-Angriffe: 2,8 Millionen Menschen in Browser-Falle

Scareware, Phishing-Dienstleistungen und KI-getarnte Malware – die Bedrohungslage hat sich dramatisch verschärft.

Sicherheitsforscher und Strafverfolgungsbehörden schlagen Alarm: Eine Welle hochkoordinierter Cyberangriffe rollt über das Internet. Von massiven Scareware-Kampagnen, die Millionen Nutzer ins Visier nehmen, bis hin zu professionellen Phishing-Diensten, die selbst Zwei-Faktor-Authentifizierung (2FA) aushebeln – die Täter setzen auf perfide Psychologie und technische Raffinesse. Aktuelle Berichte von Barracuda, dem FBI und der Google Threat Intelligence Group zeichnen das Bild einer wachsenden „Phishing-as-a-Service"-Industrie (PhaaS) und Schadsoftware, die gezielt das aktuelle Interesse an Künstlicher Intelligenz und Kryptowährungen ausbeutet.

Rekord-Schäden durch Phishing zeigen, wie professionell Cyberkriminelle heute psychologische Manipulationstaktiken einsetzen, um Unternehmen zu schädigen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die aktuellen Methoden der Angreifer entlarven und Ihre Firma wirksam schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Die CypherLoc-Kampagne: Wenn der Browser zur Falle wird

Eine der größten Operationen trägt den Namen CypherLoc. Seit Jahresbeginn hat sie schätzungsweise 2,8 Millionen Menschen attackiert. Das Vorgehen ist perfide: Die Täter verschicken täuschend echte Phishing-Mails. Klickt ein Opfer auf einen Link, versetzt die Schadsoftware den Browser in den Vollbildmodus. Der Bildschirm zeigt dann eine gefälschte, aber professionell aussehende Sicherheitswarnung an.

Die Botschaft ist immer dieselbe: Das System sei kompromittiert. Eine angeblich von Microsoft stammende Support-Hotline wird eingeblendet. Wer anruft, landet bei Betrügern, die sich als Techniker ausgeben. Unter dem Vorwand, den Computer zu reparieren, erlangen sie Zugriff auf Bankdaten und Passwörter. „Die Masche setzt auf psychologischen Druck und erzeugt eine künstliche Krise", erklären die Forscher von Barracuda, die den Fall am 26. Mai analysierten. Der Nutzer soll keine Zeit zum Nachdenken haben.

Diese Wiederbelebung der alten Scareware-Taktik ist Teil eines größeren Trends: Automatisierte technische Fallen werden mit menschlich geführten Betrugs-Callcentern kombiniert. Der Umfang von CypherLoc deutet auf eine hochprofessionelle Infrastruktur hin, die Millionen individueller Phishing-Interaktionen steuern kann.

Kali365: Das Abo, das 2FA knackt

Während Scareware auf den Durchschnittsverbraucher zielt, haben es spezialisierte Angreifer auf Unternehmen abgesehen – insbesondere auf Nutzer von Microsoft 365. Das FBI warnte am 26. Mai offiziell vor Kali365, einem Phishing-Dienst, der als Abonnement auf dem Messengerdienst Telegram angeboten wird.

Die Methode ist besonders tückisch: Kali365 nutzt den sogenannten „Device Code Flow", einen legitimen Authentifizierungsprozess, den die Angreifer umfunktionieren. Opfer werden dazu gebracht, einen bestimmten Code auf einer echten Microsoft-Anmeldeseite einzugeben. Da die Seite offiziell ist, entsteht ein trügerisches Sicherheitsgefühl. Sobald der Code eingegeben ist, erhält der Angreifer dauerhaften Zugriff auf das Konto – ohne jemals das Passwort zu stehlen. „Das macht viele standardmäßige 2FA-Konfigurationen praktisch wirkungslos", so die Einschätzung der Ermittler.

Parallel dazu berichtet die Google Threat Intelligence Group (GTIG) von der Weiterentwicklung chinesischsprachiger PhaaS-Plattformen wie YY Lai Yu. Diese verfügen inzwischen über Live-Administrationspanels, mit denen Angreifer Einmalpasswörter (OTPs) in Echtzeit abfangen können. Mithilfe von KI-Tools wie Darcula werden dynamische, lokalisierte Phishing-Seiten erstellt. Die Angriffe haben sich bereits auf Japan, Europa und Nordamerika ausgeweitet. GTIG-Forscher beobachten zudem, dass die Täter vermehrt auf RCS-Nachrichten und iMessage setzen, um die traditionellen SMS-Filter der Telekommunikationsanbieter zu umgehen.

„Digitaler Hausarrest" und Krypto-Diebstahl

Die finanziellen Schäden sind enorm. In Bengaluru (Indien) nahm die Polizei am 26. Mai sechs Personen fest, die hinter einer besonders dreisten Betrugsmasche stecken. Ein 74-jähriger pensionierter Lehrer wurde über zwei Monate hinweg zur Überweisung von umgerechnet rund 2,7 Millionen Euro gebracht. Die Täter gaukelten ihm vor, er stehe unter „digitalem Hausarrest" und werde strafrechtlich verfolgt. In 26 Einzeltransaktionen überwies der Mann das Geld auf 23 verschiedene „Muli-Konten". Die Ermittler konnten rund 165.000 Euro sicherstellen und bringen die Bande mit einem weiteren Betrug in Höhe von 1,7 Millionen Euro in Verbindung.

Auch der Kryptosektor bleibt nicht verschont. Zwischen dem 25. und 26. Mai nutzten Angreifer Googles Werbeplattform, um Nutzer der dezentralen Börse Uniswap zu attackieren. Gefälschte Anzeigen führten zum Diebstahl von rund 370.000 Euro in digitalen Währungen. Die Sicherheitsorganisation Security Alliance (SEAL) gab an, allein in diesem Jahr bereits über 356 schadhafte Werbelinks blockiert zu haben – ein Hinweis auf eine anhaltende Schwachstelle in der Überprüfung von Finanzanzeigen durch Suchmaschinen.

Gleichzeitig wurde die berüchtigte Lazarus-Gruppe dabei beobachtet, wie sie einen neuen, speicherresidenten Trojaner namens RemotePE einsetzt. Der Schädling zielt auf Finanz- und Krypto-Unternehmen ab und wird über mehrstufige Social-Engineering-Kampagnen auf Telegram verbreitet. Da er ausschließlich im Arbeitsspeicher läuft und fortschrittliche Tarnmechanismen wie Hell's Gate und ETW-Patching nutzt, bleibt er für herkömmliche Antivirenprogramme nahezu unsichtbar.

KI als Köder: 92.000 Malware-Attacken in fünf Monaten

Das weltweite Interesse an Künstlicher Intelligenz ist für Cyberkriminelle zum perfekten Lockmittel geworden. Kaspersky meldete, dass zwischen Januar und Mai 2026 über 92.000 Malware-Angriffe registriert wurden, die als legitime KI-Dienste getarnt waren. Fast die Hälfte davon betraf gefälschte ChatGPT-Anwendungen, aber auch Dienste wie Claude und Gemini wurden häufig nachgeahmt.

Die Hackergruppe Silver Fox wurde als Hauptverantwortliche für die Verbreitung gefälschter Claude-Apps auf Windows, macOS und Linux identifiziert. Diese Programme sehen funktionsfähig aus, installieren aber im Hintergrund Datendiebstahl-Software. Der Trend betrifft auch Entwickler-Arbeitsplätze: Die TrapDoor-Kampagne, die am 26. Mai von Socket-Forschern entdeckt wurde, umfasste über 34 schadhafte Pakete in den Repositories npm und PyPI. Diese Pakete zielen gezielt auf KI-Coding-Assistenten-Dateien wie .cursorrules und CLAUDE.md ab, um AWS-Zugangsdaten, GitHub-Tokens und Kryptoschlüssel zu stehlen.

Analyse: Die Professionalisierung der Cyberkriminalität

Die Kombination aus KI-gesteuerten Werkzeugen, professionellen Dienstleistungsmodellen und psychologischer Manipulation zeigt: Die kriminelle Szene ist erwachsen geworden. Angreifer verlassen sich nicht mehr auf grobe Spam-Wellen. Sie investieren in lokalisierte Vorlagen, Echtzeit-Abfangpanels und „speicherresidente" Malware, die moderne Hardware- und Software-Abwehrmechanismen umgeht.

Ein weiteres Beispiel für die Vielseitigkeit der Täter ist die Zunahme von „Double-Extortion"-Schemata im Gaming-Sektor. Bitdefender-Forscher beschreiben einen Betrug über den russischen Dienst Rambler.ru: Angreifer stehlen zunächst Spielkonten und geben sich dann als Wiederherstellungsassistenten aus, um zusätzliche Zahlungen zu fordern. Diese zweistufige Methode maximiert den Profit aus einem einzigen Vorfall.

Angesichts der rasanten Professionalisierung der Cyberkriminalität und neuer KI-getarnter Bedrohungen müssen Unternehmen ihre IT-Sicherheit jetzt proaktiv verstärken. Dieser kostenlose Report klärt auf, wie Sie Ihr Unternehmen ohne teure Investitionen schützen und neuen gesetzlichen Anforderungen begegnen. Gratis Cyber-Security E-Book herunterladen

Ausblick: Was Unternehmen und Verbraucher jetzt tun müssen

Die aktuellen Kampagnen zeigen, dass traditionelle Schutzmaßnahmen wie SMS-basierte 2FA und Standard-Antivirenprogramme gegen die Spitzenbedrohungen nicht mehr ausreichen. Der Erfolg des Kali365-Dienstes unterstreicht die Dringlichkeit für Unternehmen, auf robustere Authentifizierungsmethoden wie Hardware-Sicherheitsschlüssel umzusteigen.

Für Verbraucher gilt: Weder Microsoft noch andere seriöse Unternehmen oder Behörden verwenden Vollbild-Browsersperren oder unaufgeforderte Telefonanrufe, um Sicherheitsprobleme zu lösen. Die Verbreitung von PhaaS-Plattformen senkt die Einstiegshürde für Nachwuchskriminelle drastisch. Die Zahl der psychologisch ausgefeilten Social-Engineering-Angriffe wird daher voraussichtlich hoch bleiben.

Die Festnahmen in Bengaluru zeigen, dass die Strafverfolgung Erfolge erzielt. Doch die dezentrale und globale Natur von PhaaS bleibt die größte Herausforderung für die internationale Cybersicherheit.

de | wissenschaft | 69423248 |