Suchmaschinenoptimierung lockt Nutzer – Verbraucher als auch Organisationen – auf gefälschte Software-Webseiten, auch in deutscher Sprache
Cyberkriminelle verbreiten das Fernwartungstool ScreenConnect über gefälschte Webseiten, die den offiziellen Seiten bekannter Software-Produkte, darunter OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam, täuschend ähnlich sehen [1]. Darüber verschaffen sich die Angreifer dauerhaften Zugriff auf kompromittierte Geräte und laden weitere Schadsoftware wie AsyncRAT nach. Die Kampagne zielt sowohl auf Verbraucher als auch auf Organisationen ab, die Windows verwenden. Insgesamt identifizierten die Kaspersky-Experten über 90 Domains in zehn Sprachen, unter anderem Deutsch, Englisch, Arabisch, Spanisch, Chinesisch, Portugiesisch und Russisch.
Nachdem Kaspersky über seinen Managed-Detection-and-Response-Dienst [2] einen Vorfall registriert hatte, deckte das Unternehmen eine groß angelegte Kampagne auf, bei der Angreifer gefälschte Webseiten nutzen, um Installationsdateien zu verbreiten, die als beliebte Software getarnt sind – darunter OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam. Um Anwender auf diese Seiten zu lenken, setzen die Angreifer Suchmaschinenoptimierungstechniken ein, die die gefälschten Webseiten in den Suchergebnissen weit oben platzieren. Insgesamt identifizierten die Kaspersky-Experten mehr als 90 betrügerische Domains, die Teil dieser Masche waren – unter anderem in Deutsch, Englisch, Arabisch, Spanisch, Chinesisch, Portugiesisch und Russisch.
Nutzer, die eine vermeintlich legitime Software von diesen Webseiten herunterluden, erhielten stattdessen das versteckte Fernwartungstool ScreenConnect. Dies erlaubte den Angreifern einen dauerhaften Zugriff auf kompromittierte Geräte und die Installation von AsyncRAT, einen Open-Source-Trojaner, der ihnen die vollständige Kontrolle über die infizierten Systeme verschaffte. Die mit dieser Kampagne in Verbindung stehenden Domain-Registrierungen erreichten im Februar 2026 ihren Höhepunkt; bereits 2025 hatte derselbe Angreifer gefälschte Webseiten verwendet, um schädliche Installationsdateien als Spiele zu tarnen.
Die Infektion erfolgt über schädliche Archive, die neben der Bibliothek install.res.1033.dll auch die legitime, signierte Microsoft-Datei install.exe enthalten. Die DLL wird per DLL-Sideloading auf das Gerät geladen und startet einen ScreenConnect-Dienst, der auf weitere Anweisungen der Angreifer wartet.
„Die Kampagne zielt sowohl auf Nutzer ab, die kostenlose Programme aus dem Internet herunterladen, als auch auf Unternehmensnetzwerke, in denen Fernzugriffstools häufig auf der Whitelist stehen und mit erweiterten Berechtigungen ausgestattet sind. Sie ermöglicht den Diebstahl von Zugangsdaten in großem Umfang und den unbefugten Zugriff auf Systeme. Die gestohlenen Daten werden typischerweise später in Darknet-Foren weiterverkauft“, kommentiert Denis Kulik, leitender SOC-Analyst bei Kaspersky.
Kaspersky-Empfehlungen zum Schutz
Für Unternehmen:
- Die Installation von Software streng kontrollieren, beispielsweise durch den Einsatz von Allow-Lists für Anwendungen sowie durch die Blockierung der Installation von MSI-Paketen aus nicht vertrauenswürdigen Quellen.
- Fernwartungsdienste und geplante Aufgaben kontinuierlich überwachen.
- Ausgehenden Datenverkehr zu unbekannten Domains und IP-Adressen filtern.
- Mitarbeiter in Bezug auf Bedrohungen und für sicheres Verhalten im Umgang mit Cybersicherheit schulen, zum Beispiel mit der Kaspersky Automated Security Awareness Platform [3].
- Die Authentizität von Softwarequellen stets überprüfen.
- Lösungen wie Kaspersky Managed Detection and Response [2] einsetzen, die komplexe Cyberangriffe erkennen und blockieren kann.
- Zugangsdaten auf Anzeichen einer Kompromittierung überwachen, um Risiken zu minimieren.
- Darknet-Monitoring-Services wie Kaspersky Digital Footprint Intelligence [4] unterstützen bei der kontinuierlichen Überwachung von Quellen im offenen Web und im Darknet, so dass Unternehmen zeitnah auf potenzielle Bedrohungen reagieren können.
Für Verbraucher:
- Software und Medien ausschließlich aus vertrauenswürdigen Quellen herunterladen.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren und Konten kontinuierlich überwachen. 2FA sollte insbesondere für Ausweis- und Finanz-Apps aktiviert werden. Kontoauszüge regelmäßig auf unberechtigte Aktivitäten überprüfen.
- Die Echtheit von Websites prüfen; dabei besonders auf das URL-Format und die korrekte Schreibweise von Firmennamen achten.
- Auf allen Geräten eine leistungsstarke Sicherheitslösung wie Kaspersky Premium [5] einsetzen, die vor bekannten und unbekannten Bedrohungen schützt.
Weitere Informationen sind verfügbar unter https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/
[1] https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/
[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://dfi.kaspersky.com/de
Nützliche Links:
- Kaspersky-Analyse zu ScreenConnect und AsyncRAT: https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/
- Kaspersky Digital Footprint Intelligence: https://dfi.kaspersky.com/de
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
- Kaspersky Premium: https://kas.pr/re3t