KI-gestützte Malware: Neue Bedrohungswelle rollt auf Unternehmen zu

** Die jüngsten Angriffswellen treffen besonders Industrie und Bildungseinrichtungen.

Sicherheitsforscher und Technologieanbieter beobachten derzeit eine dramatische Weiterentwicklung von Schadsoftware. Kriminelle nutzen KI und dezentrale Infrastrukturen, um traditionelle Schutzmechanismen zu umgehen. Aktuelle Enthüllungen von Kaspersky, ThreatFabric und Google zeichnen ein alarmierendes Bild der Bedrohungslage.

Angesichts der rasanten Entwicklung von Banking-Trojanern und Schad-Apps wird der Schutz persönlicher Daten auf dem Handy immer kritischer. IT-Experten raten zu diesen fünf konkreten Schritten, um Online-Banking und Apps endlich sicher zu nutzen. Gratis-PDF: 5 Schutzmaßnahmen jetzt entdecken

Nordkoreanische Hacker setzen auf KI und Entwickler-Tools

Die mit Nordkorea in Verbindung gebrachte Gruppe Kimsuky hat ihre Taktik grundlegend geändert. Wie Kaspersky am heutigen Donnerstag berichtet, nutzt die Gruppe Large Language Models (LLMs) zur Entwicklung der Hintertür HelloDoor. Die Schadsoftware ist seit August 2025 aktiv und zeigt einen wachsenden Trend: Künstliche Intelligenz wird direkt in den Entwicklungsprozess von Malware integriert.

Besonders raffiniert: Kimsuky verwendet Visual Studio Code Remote Tunneling für verdeckten Fernzugriff. Die Methode tarnt sich als legitime Entwickleraktivität. Hauptziel der Kampagne sind Südkoreas staatliche Authentifizierungssysteme.

Parallel dazu erleben Remote Access Trojans (RATs) ein Comeback. Sicherheitsfirma Gurucul deckte eine Kampagne auf, bei der Angreifer das HWMonitor-Installationspaket präparierten. Über DLL-Sideloading via Cloudflare R2 verbreiten sie den STX-RAT. Dieser kann umfassend Tastatureingaben aufzeichnen und Bildschirme mitlesen.

Banking-Trojaner nutzt Blockchain zur Tarnung

Der Bankensektor steht unter neuem Druck. ThreatFabric analysierte eine Variante des TrickMo-Trojaners mit der Bezeichnung TrickMo.C. Seit Januar 2026 aktiv, setzt die Malware auf das TON-Blockchain-Netzwerk zur Verschleierung ihrer Kommandozentrale.

„Die Nutzung von Blockchain-Technologie macht es für Ermittler extrem schwierig, die Infrastruktur zu zerschlagen", erklären die Forscher. TrickMo.C zielt auf Bank- und Kryptowährungs-Apps in Frankreich, Italien und Österreich ab. Zu seinen Fähigkeiten zählen SSH-Tunneling und das Abfangen von SMS zur Umgehung der Zwei-Faktor-Authentifizierung.

Das Ausmaß mobiler Bedrohungen zeigt auch der Fund von 28 „CallPhantom"-Apps im Google Play Store. Vor ihrer Entfernung wurden sie 7,3 Millionen Mal heruntergeladen. Die Apps generierten fingierte Daten und lockten Nutzer in teure Abos zwischen 5 und 80 Euro. Über 53 Prozent der Opfer stammen aus Indien.

Industrie und Bildung im Visier

Industrieunternehmen bleiben Hauptziele für Datendiebstahl. Am 7. Mai traf es West Pharmaceutical Services, ein S&P-500-Unternehmen mit über drei Milliarden Euro Umsatz. Der Angriff begann am 4. Mai, verschlüsselte Systeme und stahl sensible Daten. Die Produktion musste weltweit eingestellt werden.

Noch größer ist der Schaden im Bildungssektor: Die Gruppe ShinyHunters erbeutete 3,5 Terabyte Daten von 275 Millionen Nutzern der Canvas-Plattform. Betroffen sind 9.000 Schulen. Obwohl Instructure angeblich eine Löschvereinbarung mit den Hackern traf, zeigen sich Experten skeptisch.

Die finanziellen Folgen sind enorm. Die Pennsylvania State Education Association einigte sich im März auf einen Vergleich über 2,5 Millionen Euro nach einem Datenleck im Juli 2024.

Google und Apple ziehen nach

Die Tech-Giganten reagieren mit neuen Schutzfunktionen. Google startete am 12. Mai „Android Intrusion Logging" im Advanced Protection Mode. Entwickelt mit Amnesty International und Reporter ohne Grenzen, speichert das Tool täglich verschlüsselte Logs für forensische Analysen.

Android 17 erhält KI-gestützte „Live Threat Detection" und eine „Remote Lock"-Funktion. Apple veröffentlichte iOS 26.5 mit über 50 Sicherheitspatches, darunter ein kritischer Kernel-Fehler.

Auch Messenger-Dienste rüsten auf. Signal führte am 13. Mai neue Schutzfunktionen gegen Phishing ein. Nachrichten von unbekannten Kontakten erfordern nun zusätzliche Bestätigungsschritte. Der Schritt folgt auf die „Signal-Affäre" im April, bei der mehrere deutsche Bundestagsabgeordnete Opfer von IT-Support-Phishing wurden.

Bedrohungslage erreicht neue Dimension

Die schiere Menge an Schadcode ist atemberaubend. VirusTotal hostet mittlerweile 31 Petabyte an Malware – das entspricht über 31.000 handelsüblichen 1-Terabyte-Festplatten.

Phishing-Angriffe über n8n-Webhooks stiegen um 686 Prozent in 14 Monaten. „Quishing" – Phishing über QR-Codes – legte im ersten Quartal 2026 um 150 Prozent zu. Europol schätzt die jährlichen Verluste durch Bankbetrug auf rund 980 Millionen Euro.

Da herkömmliche Anmeldedaten zunehmend durch raffinierte Angriffe gefährdet sind, fordern Sicherheitsexperten den Wechsel auf modernere Verfahren. Dieser kostenlose Report erklärt, wie Sie Passkeys bei großen Diensten wie Amazon oder WhatsApp einrichten und sich so passwortlos absichern. Kostenlosen Passkey-Ratgeber herunterladen

Reisebetrug explodiert regelrecht: KI-generierte Fake-Websites nahmen um 500 bis 900 Prozent zu.

Ausblick: Wettlauf ohne Ende

Der Rest von 2026 verspricht einen Wettrüsten zwischen KI-gestützter Malware und automatisierten Abwehrsystemen. Forscher präsentierten auf einer IEEE-Konferenz MASDroid, ein Multi-Agenten-System zur Android-Malware-Analyse.

Experten drängen auf passwortlose Authentifizierung mittels Passkeys und biometrischer Verfahren. Diese Methoden sind fest an legitime Domains gebunden und deutlich schwerer zu kompromittieren. Doch solange einfache Phishing-Tricks funktionieren, bleibt Sicherheitsschulung ein entscheidender Faktor.

de | wissenschaft | 69335846 |