Zum Hauptinhalt springen

Gefälschte Software-Webseiten verbreiten Fernwartungstool ScreenConnect zu schädlichen Zwecken

1. Juli 2026

Suchmaschinenoptimierung lockt Nutzer – Verbraucher als auch Organisationen – auf gefälschte Software-Webseiten, auch in deutscher Sprache

Cyberkriminelle verbreiten das Fernwartungstool ScreenConnect über gefälschte Webseiten, die den offiziellen Seiten bekannter Software-Produkte, darunter OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam, täuschend ähnlich sehen [1]. Darüber verschaffen sich die Angreifer dauerhaften Zugriff auf kompromittierte Geräte und laden weitere Schadsoftware wie AsyncRAT nach. Die Kampagne zielt sowohl auf Verbraucher als auch auf Organisationen ab, die Windows verwenden. Insgesamt identifizierten die Kaspersky-Experten über 90 Domains in zehn Sprachen, unter anderem Deutsch, Englisch, Arabisch, Spanisch, Chinesisch, Portugiesisch und Russisch.

Nachdem Kaspersky über seinen Managed-Detection-and-Response-Dienst [2] einen Vorfall registriert hatte, deckte das Unternehmen eine groß angelegte Kampagne auf, bei der Angreifer gefälschte Webseiten nutzen, um Installationsdateien zu verbreiten, die als beliebte Software getarnt sind – darunter OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam. Um Anwender auf diese Seiten zu lenken, setzen die Angreifer Suchmaschinenoptimierungstechniken ein, die die gefälschten Webseiten in den Suchergebnissen weit oben platzieren. Insgesamt identifizierten die Kaspersky-Experten mehr als 90 betrügerische Domains, die Teil dieser Masche waren – unter anderem in Deutsch, Englisch, Arabisch, Spanisch, Chinesisch, Portugiesisch und Russisch.

Nutzer, die eine vermeintlich legitime Software von diesen Webseiten herunterluden, erhielten stattdessen das versteckte Fernwartungstool ScreenConnect. Dies erlaubte den Angreifern einen dauerhaften Zugriff auf kompromittierte Geräte und die Installation von AsyncRAT, einen Open-Source-Trojaner, der ihnen die vollständige Kontrolle über die infizierten Systeme verschaffte. Die mit dieser Kampagne in Verbindung stehenden Domain-Registrierungen erreichten im Februar 2026 ihren Höhepunkt; bereits 2025 hatte derselbe Angreifer gefälschte Webseiten verwendet, um schädliche Installationsdateien als Spiele zu tarnen.

Die Infektion erfolgt über schädliche Archive, die neben der Bibliothek install.res.1033.dll auch die legitime, signierte Microsoft-Datei install.exe enthalten. Die DLL wird per DLL-Sideloading auf das Gerät geladen und startet einen ScreenConnect-Dienst, der auf weitere Anweisungen der Angreifer wartet.

„Die Kampagne zielt sowohl auf Nutzer ab, die kostenlose Programme aus dem Internet herunterladen, als auch auf Unternehmensnetzwerke, in denen Fernzugriffstools häufig auf der Whitelist stehen und mit erweiterten Berechtigungen ausgestattet sind. Sie ermöglicht den Diebstahl von Zugangsdaten in großem Umfang und den unbefugten Zugriff auf Systeme. Die gestohlenen Daten werden typischerweise später in Darknet-Foren weiterverkauft“, kommentiert Denis Kulik, leitender SOC-Analyst bei Kaspersky.

Kaspersky-Empfehlungen zum Schutz

Für Unternehmen:

  • Die Installation von Software streng kontrollieren, beispielsweise durch den Einsatz von Allow-Lists für Anwendungen sowie durch die Blockierung der Installation von MSI-Paketen aus nicht vertrauenswürdigen Quellen.
  • Fernwartungsdienste und geplante Aufgaben kontinuierlich überwachen.
  • Ausgehenden Datenverkehr zu unbekannten Domains und IP-Adressen filtern.
  • Mitarbeiter in Bezug auf Bedrohungen und für sicheres Verhalten im Umgang mit Cybersicherheit schulen, zum Beispiel mit der Kaspersky Automated Security Awareness Platform [3].
  • Die Authentizität von Softwarequellen stets überprüfen.
  • Lösungen wie Kaspersky Managed Detection and Response [2] einsetzen, die komplexe Cyberangriffe erkennen und blockieren kann.
  • Zugangsdaten auf Anzeichen einer Kompromittierung überwachen, um Risiken zu minimieren.
  • Darknet-Monitoring-Services wie Kaspersky Digital Footprint Intelligence [4] unterstützen bei der kontinuierlichen Überwachung von Quellen im offenen Web und im Darknet, so dass Unternehmen zeitnah auf potenzielle Bedrohungen reagieren können.

Für Verbraucher:

  • Software und Medien ausschließlich aus vertrauenswürdigen Quellen herunterladen.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren und Konten kontinuierlich überwachen. 2FA sollte insbesondere für Ausweis- und Finanz-Apps aktiviert werden. Kontoauszüge regelmäßig auf unberechtigte Aktivitäten überprüfen.
  • Die Echtheit von Websites prüfen; dabei besonders auf das URL-Format und die korrekte Schreibweise von Firmennamen achten.
  • Auf allen Geräten eine leistungsstarke Sicherheitslösung wie Kaspersky Premium [5] einsetzen, die vor bekannten und unbekannten Bedrohungen schützt.


Weitere Informationen sind verfügbar unter https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/

 

[1] https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/

[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

[4] https://dfi.kaspersky.com/de

[5] https://kas.pr/re3t


Nützliche Links:

 

Gefälschte Software-Webseiten verbreiten Fernwartungstool ScreenConnect zu schädlichen Zwecken

Suchmaschinenoptimierung lockt Nutzer – Verbraucher als auch Organisationen – auf gefälschte Software-Webseiten, auch in deutscher Sprache
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Kaspersky revolutioniert die Branche mit seinem Sicherheitsansatz auf Basis des Prinzips der Cyberimmunität und schützt Verbraucher, Unternehmen, kritische Infrastrukturen und Behörden vor Cyberbedrohungen, mit bis heute über einer Milliarde geschützter Geräte.

Kaspersky sorgt für Cybersecurity True to Business und konzentriert sich auf die Bereitstellung klarer Ergebnisse, den Schutz des Umsatzes, Reduzierung der Arbeitsbelastung und Vermeidung von Ausfallzeiten. Kasperskys umfassendes Know-how im Bereich Threat Intelligence und Sicherheit fließt ständig in innovative Lösungen und Dienste für Unternehmen jeder Größe ein, von kleinen bis hin zu Großunternehmen, die bewährte KI-gesteuerte Schutztechnologien mit einfacher Verwaltung und fachkundigem Support kombinieren.

Kaspersky wurde in unabhängigen Tests ausgezeichnet und wird von Millionen von Menschen weltweit sowie fast 200.000 Unternehmen als vertrauenswürdig eingestuft. Kaspersky hilft dabei, Bedrohungen früher zu erkennen, schneller zu reagieren und mit größerer Sicherheit und Freiheit zu arbeiten, und schützt so, was für unsere Kunden am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen