SEO-Poisoning, Domains

SEO-Poisoning: 90 gefälschte Domains verbreiten AsyncRAT-Malware

02.07.2026 - 16:20:23 | boerse-global.de

Kaspersky deckt großangelegte Malware-Kampagne auf, die über manipulierte Suchergebnisse das Schadprogramm AsyncRAT verbreitet.

AsyncRAT-Malware: SEO-Poisoning-Kampagne mit 90 Fake-Seiten entdeckt
SEO-Poisoning - Abstrakte Darstellung einer digitalen Bedrohung mit glühenden roten Linien über einem dunklen Serverraum, symbolisiert Malware-Verbreitung und SEO-Vergiftung. 02.07.2026 - Bild: über boerse-global.de

Kaspersky-Forscher haben eine groß angelegte Malware-Kampagne aufgedeckt, die über manipulierte Suchergebnisse verbreitet wird. Seit August 2025 nutzen die Angreifer SEO-Poisoning, um Nutzer mit dem Schadprogramm AsyncRAT zu infizieren. Besonders perfide: Die Täter kapern das legitime Remote-Tool ScreenConnect, um die Kontrolle über infizierte Rechner zu übernehmen.

Gefälschte Freeware-Seiten als Einfallstor

Die Kampagne operiert mit über 90 gefälschten Domains, die seriöse Download-Seiten nachahmen. Betroffen sind vor allem Nutzer, die nach populären Programmen wie OBS Studio, DS4Windows, Bandicam, DNS Jumper oder Process Hacker suchen. Durch gezielte SEO-Manipulation schaffen es die Angreifer, ihre betrügerischen Seiten auf Google und Bing ganz oben in den Suchergebnissen zu platzieren.

Die Operation ist global ausgerichtet. Die Sicherheitsexperten von Kaspersky dokumentierten die Kampagne in zehn verschiedenen Sprachen – darunter Deutsch, Englisch, Russisch, Chinesisch, Französisch, Spanisch, Portugiesisch und Arabisch. Die meisten schädlichen Domains sind in den USA und in Deutschland gehostet.

So läuft der Angriff ab

Der Infektionsprozess beginnt harmlos: Ein Nutzer lädt ein vermeintliches Programmarchiv von einer der gefälschten Seiten herunter. Doch darin versteckt sich eine bösartige Datei. Die Archive enthalten eine legitime, signierte Microsoft-Datei (install.exe) sowie eine manipulierte DLL namens install.res.1033.dll. Durch eine Technik namens DLL-Sideloading wird beim Ausführen der harmlosen Datei automatisch die schadhafte DLL geladen.

Sobald die Malware aktiv ist, startet sie eine Reihe von Skripten:

Anzeige

AsyncRAT über SEO-Poisoning: Seit August 2025 kapern Angreifer mit über 90 gefälschten Domains Suchergebnisse für Freeware wie OBS Studio und DS4Windows. Die Malware installiert ScreenConnect mit Admin-Rechten und überlebt Neustarts durch einen geplanten Task. Mit unserer Checkliste erkennen Sie gefälschte Seiten sofort. Kostenlose Sicherheits-Checkliste anfordern

  • PowerShell-Skripte deaktivieren den Windows Defender und die Benutzerkontensteuerung (UAC)
  • Dateien werden im Verzeichnis C:UsersPublic angelegt
  • Process Hollowing: Die Angreifer nutzen das Tool RegAsm.exe, um AsyncRAT im Speicher eines legitimen Prozesses auszuführen
  • ScreenConnect wird mit Admin-Rechten installiert – die Täter erhalten dauerhaften Fernzugriff

Hartnäckige Überlebensstrategie

Damit die Malware auch nach einem Neustart aktiv bleibt, richtet die Kampagne einen geplanten Task ein. In vielen Fällen trägt dieser den harmlos klingenden Namen MasterPackager.Updater und ist so konfiguriert, dass er alle zwei Minuten ausgeführt wird. Selbst wenn der ursprüngliche Prozess beendet wird – die Malware startet sich immer wieder neu.

Die Kommunikation mit den Angreifern läuft über einen Command-and-Control-Server. Sicherheitsforscher identifizierten die Domain mora1987.work[.]gd als zentrale Schaltstelle für infizierte Systeme.

Anzeige

Betrifft Ihr Unternehmen Freeware-Downloads? Die aktuelle AsyncRAT-Kampagne nutzt DLL-Sideloading und Process Hollowing – und die Malware startet alle zwei Minuten neu. Unsere Checkliste zeigt, wie Sie Angriffe frühzeitig erkennen. Checkliste per E-Mail sichern

Aktuelle Bedrohungslage

Die Kampagne war zwischen August 2025 und März 2026 besonders aktiv. Doch die Experten warnen: Die Bedrohung ist weiterhin aktuell. Wer kostenlose Software im Netz sucht, sollte besonders vorsichtig sein. Kaspersky empfiehlt, Downloads ausschließlich von den offiziellen Herstellerseiten zu beziehen und verdächtige Suchergebnisse genau zu prüfen.

de | wissenschaft | 69673894 |