FakeUpdates: Die dominante Malware in Deutschland

Malware
LinkedInRedditWhatsAppPocket

Im März 2025 zeigt sich erneut, wie dynamisch und raffiniert die Welt der Cyberkriminalität agiert. Der aktuelle Global Threat Index von Check Point offenbart: FakeUpdates ist weiterhin die meistverbreitete Malware – sowohl in Deutschland als auch weltweit.

Neue Angriffsstrategien: RansomHub nutzt FakeUpdates

Sicherheitsforscher deckten im März eine neue Angriffswelle auf, bei der die Ransomware-Gruppe RansomHub FakeUpdates als Einstiegspunkt nutzt. Die Schadsoftware, die über manipulierte Webseiten als vermeintliches Browser-Update angeboten wird, installierte sich durch sogenannte Keitaro-TDS-Umleitungen auf den Systemen der Opfer.

Anzeige

Über ein verschleiertes JavaScript-Modul erlangte die Malware Zugriff auf Daten, führte Befehle aus und ermöglichte dauerhafte Kontrolle über kompromittierte Systeme. Neu ist die Nutzung legitimer Dienste wie Dropbox oder TryCloudflare, über die Hacker ihre Aktivitäten verschleiern. „Cyber-Kriminelle passen ihre Taktiken weiterhin an und nutzen zunehmend legitime Plattformen, um Malware zu verbreiten und sich der Entdeckung zu entziehen,“ erklärt Maya Horowitz, VP of Research bei Check Point. „Unternehmen müssen wachsam bleiben und präventive Sicherheitsmaßnahmen implementieren, um die Risiken dieser Bedrohungen zu minimieren.“

Lumma Stealer: Gefährliche Phishing-Kampagne mit PDF-Falle

Ebenfalls im März wurde eine massive Phishing-Kampagne mit dem Lumma Stealer bekannt, die mehr als 1150 Unternehmen und 7000 Einzelpersonen betraf. Die Angreifer nutzten das CDN von Webflow zur Verbreitung gefälschter PDFs. Über ein manipuliertes CAPTCHA-Bild wurde PowerShell-Code ausgeführt, um die Malware zu installieren.

Darüber hinaus fand man den Lumma Stealer auch in modifizierten Roblox-Spielen sowie in einer mit Schadcode versehenen Raubkopie des Windows-Tools „Total Commander“, die über kompromittierte YouTube-Konten verteilt wurde.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Deutschlands Malware-Top 3 im März

Im Vergleich zum Vormonat hat FakeUpdates die Führung übernommen und zeigt mit 4,87 Prozent aller verzeichneten Infektionen eine besorgniserregende Verbreitung.

  • ↑ FakeUpdates (4,87 %): Auch als SocGholish bekannt, wird diese Malware seit 2018 eingesetzt, um über infizierte Webseiten vermeintliche Browser-Updates zu verbreiten. Nach dem Download schleust sie weitere Schadsoftware nach. Die Urheber werden der russischen Gruppe Evil Corp zugeordnet.
  • ↓ Androxgh0st (2,25 %): Diese Malware zielt auf Webanwendungen, die das Laravel PHP-Framework nutzen. Sie extrahiert sensible Daten aus ungeschützten .env-Dateien und nutzt ein Botnetz, um potenzielle Ziele zu identifizieren.
  • ↔ AsyncRat (1,48 %): Ein Remote-Access-Trojaner (RAT), der per Phishing verbreitet wird. Er ermöglicht unter anderem das Ausführen von Befehlen, Screenshots und das Nachladen weiterer Schadmodule.

Zielsektoren: Bildung weiterhin besonders gefährdet

Auch bei den angegriffenen Branchen bleibt Bildung weiterhin an der Spitze der am häufigsten attackierten Sektoren. Auf Platz zwei rückt die Telekommunikation vor, während Biotechnologie und Pharmazie weiterhin stark betroffen sind:

  • ↔ Bildung
  • ↑ Telekommunikation
  • ↔ Biotechnologie und Pharmazie

Mobile Malware: Banking-Trojaner bleibt auf Platz eins

Bei den mobilen Bedrohungen dominieren weiterhin drei bekannte Schadprogramme:

  • ↔ Anubis: Ein Android-Trojaner mit Banking-Fokus, der sich über gefälschte Apps verbreitet und Funktionen wie Keylogging, Audioaufnahme und Ransomware integriert.
  • ↔ Necro: Eine Android-Malware, die unter anderem über manipulierte Apps auf Google Play verbreitet wird. Sie kann Werbung anzeigen, Downloads auslösen und Geräte in Botnetze integrieren.
  • ↔ AhMyth: Ein RAT für Android, getarnt als legitime App. Er ermöglicht unter anderem Zugriff auf Kamera, Mikrofon, SMS und Bankdaten.

Ransomware-Gruppen: RansomHub dominiert

Daten von sogenannten „Shame Sites“ zeigen, dass RansomHub im März für 12 Prozent aller dokumentierten Ransomware-Angriffe verantwortlich war. Auf den Plätzen zwei und drei folgen Qilin und Akira mit jeweils 6 Prozent.

  • RansomHub: Eine Ransomware-as-a-Service-Plattform, die ursprünglich aus der Malware Knight hervorging. Zielplattformen sind unter anderem Windows, macOS, Linux und VMware ESXi.
  • Qilin (auch Agenda): Diese Ransomware wird über Phishing-Kampagnen verbreitet und konzentriert sich besonders auf den Gesundheits- und Bildungssektor. Sie verschlüsselt Daten und fordert Lösegeld.
  • Akira: Seit 2023 aktiv, verschlüsselt diese Ransomware Dateien und verlangt Zahlungen für deren Freigabe. Sie nutzt Sicherheitslücken in VPN-Endpunkten und wird per E-Mail verbreitet.

Die Anpassungsfähigkeit der Cyberkriminellen wächst

Der März 2025 zeigt erneut, wie schnell sich Taktiken und Angriffsmethoden weiterentwickeln. Die verstärkte Nutzung legitimer Plattformen zur Tarnung von Malware-Aktivitäten stellt Unternehmen und Privatanwender gleichermaßen vor neue Herausforderungen. Der Schutz vor modernen Cyberbedrohungen erfordert daher nicht nur technische Maßnahmen, sondern auch kontinuierliche Wachsamkeit und Schulung der Nutzer.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Neue Malware-Familie CoffeeLoader mit Verschleierungstechniken

Weitere Artikel

Ransomware-Gruppen locken mit neuen Affiliate-Programmen
Cyberkriminelle setzen bei Phishing auf Microsoft und Mastercard
311 Milliarden Webangriffe im Jahr 2024
Die Google-Falle: Wie Cyberkriminelle mit Fake-Seiten zuschlagen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.