Sandworm-Angriffe: Russische Hacker tarnen Malware als CAPTCHA
Veröffentlicht: 16.07.2026 um 23:43 Uhr, Redaktion boerse-global.de
Staatliche Hacker und professionelle Cyberkriminelle setzen verstärkt auf eine perfide Masche: Sie tarnen Schadsoftware als harmlose Systemabfragen oder gecrackte Business-Programme. Die Angriffswelle rollt über die Ukraine, Europa und Amerika – und erreicht nun auch Deutschland.
Sandworm im Visier: Ukrainische Webseiten als Köder
Das ukrainische Computer-Notfallteam CERT-UA schlug am heutigen Donnerstag Alarm. Seit dem Frühjahr 2026 kapert die russische Elite-Gruppe Sandworm gezielt Webseiten – mindestens zehn sind bereits kompromittiert. Besucher werden dort mit einem gefälschten CAPTCHA konfrontiert, das sie auffordert, einen PowerShell-Befehl auszuführen.
Wer der Anweisung folgt, lädt unbemerkt Schadsoftware wie GhettoVibe und ScoutCurl herunter. Die Infektionskette ist raffiniert: Zuerst installiert sich GhettoVibe, dann folgt ScoutCurl zur Ausspähung des Systems. Weitere Schädlinge wie FreakyPoll, FluidLeech und LoadLoop runden das Arsenal ab. Besonders perfide: Sandworm hat auch Android-Nutzer im Visier und verteilt gefälschte Sicherheits-Apps.
Trojanisierte Business-Software: Von WebEx bis Zoom
Parallel dazu treibt eine Gruppe namens UAT-11795 ihr Unwesen. Seit Juni 2025 verteilt sie manipulierte Installationsdateien beliebter Geschäftsanwendungen – darunter WebEx, Zoom, MobaXterm, DBeaver und FaceIT. Die Opfer: Unternehmen und Privatnutzer in den USA, Deutschland, Rumänien und Venezuela.
Hinter den scheinbar harmlosen Installern verbirgt sich der Starland Remote Access Trojan (RAT). Er stiehlt Zugangsdaten und Kryptowährungen – und schleust bei Bedarf weitere Schädlinge wie CastleStealer oder Remcos RAT nach. Die Hacker sichern ihre Kommandozentrale mit einer ausgeklügelten Fallback-Strategie ab: Sie nutzen Polygon-Smart-Contracts, um die Kontrolle über infizierte Geräte zu behalten.
Angesichts der Zunahme von getarnter Schadsoftware in gängigen Business-Anwendungen wird der Schutz der Firmen-IT zur Chefsache. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Mac-Nutzer im Visier: ClickLock Stealer legt Systeme lahm
Die Clickfix-Masche hat längst das Apple-Ökosystem erreicht. Seit Mai 2026 treibt der ClickLock Stealer sein Unwesen – mindestens 100 Opfer in 33 Ländern sind bestätigt, mehr als die Hälfte davon in Europa.
Der Angriff tarnt sich als Cloudflare-Überprüfung. Ist das System erst infiziert, startet die Malware eine sogenannte „Kill-Loop“: Sie beendet immer wieder essentielle macOS-Prozesse – Finder, Dock und Webbrowser. Bis zu 83 Stunden lang, oder bis das Opfer sein System-Passwort in ein gefälschtes Fenster eingibt. Das Ziel: Keychain-Daten, Browser-Zugänge und über 30 Kryptowährungs-Wallets. Die gestohlenen Daten werden per Telegram abfließen.
Malware-as-a-Service: TELEPUZ kommt als Baukasten
Seit Ende April 2026 verbreitet sich ein neuer modularer Schadsoftware-Baukasten namens TELEPUZ. Die Infektion startet klassisch per Clickfix: Ein PowerShell-Befehl lädt den Vidar-Stealer, der wiederum den TELEPUZ-Starter nachlädt.
TELEPUZ ist in C programmiert und extrem schwer zu entdecken. Die Software prüft, ob sie in einer virtuellen Maschine läuft, filtert Länder der Gemeinschaft Unabhängiger Staaten aus und umgeht Sicherheitsmonitore. Ihre Fähigkeiten: Keylogging, Screenshots, Web-Injection und Dateimanipulation. Auch hier dienen Telegram, Steam, DNS und Polygon-Smart-Contracts als Ausweich-Kanäle für die Steuerung.
Hacker nutzen immer raffiniertere psychologische Tricks wie gefälschte Systemabfragen, um Zugriff auf sensible Netzwerke zu erhalten. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen diese modernen Angriffsmethoden schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen
Gamaredon: Die alte Schule lebt noch
Während Clickfix derzeit die Schlagzeilen dominiert, bleibt die russische FSB-Gruppe Gamaredon ihren Methoden treu. Im Juli 2026 nutzt sie eine Sicherheitslücke in WinRAR (CVE-2025-8088), um ukrainische Ziele anzugreifen. Die Schädlinge GammaWorm und GammaSteel werden per VBScript verteilt. GammaWorm kommuniziert über Telegram, GammaSteel nutzt AWS S3-Buckets zum Abtransport gestohlener Daten.
Die Botschaft der Sicherheitsexperten ist klar: Ob gefälschtes CAPTCHA, trojanisierte Software oder ausgenutzte Schwachstellen – die Angreifer werden kreativer und dreister. Unternehmen und Privatnutzer sollten bei unerwarteten Systemabfragen und Downloads äußerste Vorsicht walten lassen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
