ScreenConnect-Malware, Domain-Netzwerk

ScreenConnect-Malware: 90 Domain-Netzwerk verbreitet AsyncRAT

01.07.2026 - 16:46:20 | boerse-global.de

Kaspersky deckt Infektionswelle auf: Hacker nutzen ScreenConnect und gefälschte Freeware-Seiten zur Verbreitung des AsyncRAT-Trojaners.

ScreenConnect-Missbrauch: AsyncRAT-Kampagne entdeckt
ScreenConnect-Malware - Eine digitale Hand reicht aus einem leuchtenden Bildschirm zu einer menschlichen Hand, umgeben von Binärcode, symbolisiert Cyber-Bedrohungen aus der Ferne. 01.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher haben eine großflächige Infektionskampagne aufgedeckt, die das Fernwartungstool ScreenConnect für die Verbreitung des AsyncRAT-Trojaners missbraucht.

Laut einem Bericht von Kaspersky vom 1. Juli 2026 nutzt die Operation ein Netzwerk von über 90 schädlichen Domains in zehn Sprachen. Die Angreifer locken Nutzer mit gefälschten Download-Seiten für beliebte Freeware in die Falle.

Gefälschte Software-Seiten als Einfallstor

Die Täter setzen gezielt Suchmaschinenoptimierung (SEO) ein, damit ihre betrügerischen Webseiten ganz oben in den Suchergebnissen erscheinen. Die Plattformen imitieren die offiziellen Seiten populärer Gratis-Programme wie OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam.

Der Infektionsprozess beginnt, sobald ein Nutzer ein schädliches Archiv herunterlädt. Dieses enthält eine legitime Installationsdatei – und eine manipulierte Bibliotheksdatei namens install.res.1033.dll. Die Angreifer nutzen eine Technik namens DLL-Sideloading, um den Schadcode auszuführen. Anschließend installiert sich eine Version von ScreenConnect auf dem Rechner.

Sobald ScreenConnect aktiv ist, setzen die Hacker PowerShell- und VBS-Skripte ein. Ihr Ziel: Windows Defender und die Benutzerkontensteuerung (UAC) deaktivieren. Im letzten Schritt laden sie AsyncRAT mittels Process Hollowing in den Arbeitsspeicher. Das Trojaner-Pferd baut dann eine Verbindung zu einem Kommando-Server auf.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Leitfaden zur Cyber-Security kostenlos herunterladen

Die Kaspersky-Experten stellten fest, dass die Domain-Registrierungen für diese Kampagne im Februar 2026 ihren Höhepunkt erreichten. Zudem lassen sich Parallelen zu einem Angreifer ziehen, der bereits 2025 mit ähnlichen Methoden über gefälschte Spiel-Installer operierte.

Angriffswelle auf Fernwartungssoftware

Der Missbrauch von ScreenConnect reiht sich in einen besorgniserregenden Trend ein: Immer mehr Kriminelle zielen auf Remote Monitoring und Management (RMM) -Software ab. Erst am 29. Juni 2026 hatte die US-Cybersicherheitsbehörde CISA eine kritische Lücke im SimpleHelp-RMM-Tool in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Die Schwachstelle CVE-2026-48558 hat den maximalen CVSS-Score von 10.0. Sie erlaubt es Angreifern, die Mehrfaktor-Authentifizierung zu umgehen, indem sie gefälschte OpenID-Connect-Token erstellen. Sicherheitsanalysten von Horizon3.ai, die das Leck entdeckten, berichten, dass der Exploit Angreifern Techniker-Zugriff auf entfernte Systeme verschafft.

In den letzten Wochen beobachteten Sicherheitsfirmen, wie diese Lücke genutzt wurde, um den TaskWeaver-Loader und den Djinn Stealer zu verbreiten. Djinn Stealer ist eine plattformübergreifende Schadsoftware, die Cloud-Zugangsdaten, Quellcode, SSH-Schlüssel und Daten von Kryptowährungs-Wallets stiehlt. SimpleHelp hatte zwar Ende Mai Patches veröffentlicht, doch Branchendaten zufolge waren Ende Juni noch rund 7,2 Prozent der exponierten SimpleHelp-Server verwundbar.

Neue Gefahren für Unternehmen und Kanzleien

Neben diesen Kampagnen sind weitere RMM-bezogene Bedrohungen aufgetaucht. Die Gruppe Luna Moth, auch als Silent Ransom Group bekannt, hat sich auf die Anwaltsbranche spezialisiert. Über 40 Prozent ihrer Opfer zwischen April 2024 und April 2025 stammten aus diesem Sektor.

Anzeige

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Der Umsetzungsleitfaden zum EU AI Act liefert Ihrer Rechts- und IT-Abteilung jetzt die nötige Klarheit zu Risikoklassen und Pflichten. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Luna Moth verschlüsselt in der Regel keine Daten, sondern setzt auf Datendiebstahl und Erpressung. Die Gruppe verschafft sich oft Zugang durch Callback-Phishing – sie gibt sich als IT-Helpdesk aus. Anschließend nutzen die Erpresser legitime Tools wie Zoho Assist and AnyDesk, um die Kontrolle über die Netzwerke ihrer Opfer zu behalten. In einigen Fällen zahlten Unternehmen Berichten zufolge Lösegelder zwischen 18 und 20 Millionen Euro, um die Veröffentlichung gestohlener Daten zu verhindern.

Ein weiterer alarmierender Trend: Kaspersky-Meldungen aus dem ersten Halbjahr 2026 zeigen einen starken Anstieg von Malware, die sich als Künstliche Intelligenz tarnt. Zwischen Januar und April 2026 wurden über 33.300 Angriffe auf kleine und mittelständische Unternehmen registriert, bei denen Schadsoftware als ChatGPT, Claude oder DeepSeek getarnt war. Diese Erkenntnisse kommen zu einer Zeit, in der 43 Prozent der von Kaspersky befragten Unternehmen glauben, dass Angreifer KI zunehmend für automatisierte Phishing-Angriffe und die Entwicklung hochentwickelter Malware einsetzen.

de | wissenschaft | 69668337 |