{"id":32057,"date":"2025-04-09T16:14:57","date_gmt":"2025-04-09T14:14:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32057"},"modified":"2025-04-09T16:14:57","modified_gmt":"2025-04-09T14:14:57","slug":"what-happens-if-you-download-cracked-program","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/what-happens-if-you-download-cracked-program\/32057\/","title":{"rendered":"Was passiert, wenn du ein gecracktes Programm herunterl\u00e4dst?"},"content":{"rendered":"

Du ben\u00f6tigst ein Programm, kannst aber noch keine offizielle Lizenz daf\u00fcr kaufen. Was tun? Richtige Antwort: \u201eNutze die Testversion\u201c<\/em> oder \u201eSuche nach einer kostenlosen Alternative.\u201c<\/em> Falsche Antwort: \u201eSuche im Internet nach einer gecrackten Version.\u201c<\/em><\/p>\n

Fragw\u00fcrdige alternative Quellen bieten gecrackte Softwareversionen und andere tolle Extras<\/em> an. Das ist l\u00e4ngst kein Geheimnis mehr. Solche Websites sind meist mit Werbung vollgestopft. Nachdem du dich durch das Anzeigengew\u00fchl gek\u00e4mpft hast, erh\u00e4ltst du m\u00f6glicherweise das gew\u00fcnschte Programm. Leider fehlen dabei gew\u00f6hnlich die Update- und Netzwerkfunktionen. Daf\u00fcr bekommst du aber einen Miner, einen Stealer oder andere gemeine Zugaben.<\/p>\n

Wir plaudern aus dem N\u00e4hk\u00e4stchen und erkl\u00e4ren, warum du Websites meiden solltest, die mit schnellen Downloads f\u00fcr beliebige Programme prahlen.<\/p>\n

Miner und Stealer auf SourceForge<\/h2>\n

SourceForge war einst die gr\u00f6\u00dfte Website f\u00fcr alles rund um Open Source und gewisserma\u00dfen der Vorl\u00e4ufer von GitHub. Das Unternehmen gibt es immer noch. Allerdings bietet SourceForge jetzt Software-Hosting und Bereitstellungsdienste an. Auf dem SourceForge-Softwareportal gibt es eine Unmenge von Projekten und beliebige Personen k\u00f6nnen dort Software hochladen.<\/p>\n

Und diese Offenheit bringt gewisse Sicherheitsprobleme mit sich\u00a0\u2013 genau wie wie bei GitHub<\/a>. Hier ein Beispiel: Unsere Experten haben auf SourceForge das Projekt officepackage<\/em> gefunden. Auf den ersten Blick sieht alles ganz harmlos aus: Es gibt eine verst\u00e4ndliche Beschreibung, einen aussagekr\u00e4ftigen Namen und sogar eine positive Bewertung.<\/p>\n

<\/a>

\u201eOfficepackage\u201c-Seite auf SourceForge<\/p><\/div>\n

Aber etwas ist seltsam: Die Beschreibung und die Dateien wurden direkt aus einem zusammenhanglosen Projekt auf GitHub kopiert. Was sagst du dazu? Die Alarmglocken beginnen leise zu l\u00e4uten. Komisch ist auch, dass beim Klick auf Download<\/strong> keine Malware auf dem Computer landet. Das Projekt ist offenbar sauber. Die Schadsoftware wird offenbar nicht direkt \u00fcber das officepackage<\/em>-Projekt verbreitet, sondern \u00fcber die damit verkn\u00fcpfte Webseite. Wie kann das sein?<\/p>\n

Dazu muss man wissen: Jedes auf SourceForge erstellte Projekt erh\u00e4lt einen eigenen Dom\u00e4nennamen und ein eigenes Hosting auf sourceforge.io<\/em>. Beispiel: Das Projekt officepackage<\/em> bekommt eine Webseite unter officepackage.sourceforge[.]io. <\/em>Solche Seiten k\u00f6nnen von Suchmaschinen problemlos indexiert werden und erscheinen weit oben in den Suchergebnissen. Und damit locken die Angreifer ihre Opfer an.<\/p>\n

Wenn in einer Suchmaschine auf einen Treffer f\u00fcr officepackage.sourceforge[.]io<\/em> geklickt wird, erfolgt eine Weiterleitung auf eine interessante Seite: Dort gibt es Downloads f\u00fcr nahezu alle Versionen der Microsoft Office-Suite. Aber wie immer steckt der Teufel auch hier im Detail: Wenn man mit der Maus auf den Download<\/strong>-Button zeigt, erscheint in der Browser-Statusleiste ein Link zu https[:]\/\/loading.sourceforge[.]io\/download<\/em>. Hast du die Falle erkannt? Der neue Link hat nichts mit officepackage<\/em> zu tun, da loading<\/em> ein v\u00f6llig anderes Projekt ist.<\/p>\n

<\/a>

Der \u201eDownload\u201c-Button auf der \u201eofficepackage\u201c-Seite des SourceForge-Softwareportals f\u00fchrt zu einem ganz anderen Projekt<\/p><\/div>\n

Und nach dem Klicken werden die Nutzer nicht auf die Seite des loading<\/em>-Projekts umgeleitet, sondern auf eine andere Zwischenseite mit einem weiteren Download<\/strong>-Button. So viel Klicken macht m\u00fcde, also klickt der Nutzer auf \u201eDownload\u201c und erh\u00e4lt endlich eine Datei\u00a0\u2013 ein Archiv mit dem Namen vinstaller.zip<\/em>. Es enth\u00e4lt ein weiteres Archiv, und in diesem zweiten Archiv befindet sich ein b\u00f6sartiger Windows-Installer.<\/p>\n

Diese garstige Matrjoschka sorgt f\u00fcr doppeltes \u00dcbel: Nachdem das Installationsprogramm ausgef\u00fchrt wurde, gibt es keine Microsoft-Produkte, sondern ein Miner und ein ClipBanker (Malware, die Krypto-Wallet-Adressen in der Zwischenablage ersetzt) gehen auf das Ger\u00e4t des Opfers los. Einzelheiten zum Infektionsschema findest du in der vollst\u00e4ndigen Version der Studie in unserem Securelist-Blog<\/a>.<\/p>\n

B\u00f6sartiger TookPS-Installer, der als legitime Software getarnt ist<\/h2>\n

Cyberkriminelle beschr\u00e4nken sich nicht auf SourceForge und GitHub<\/a>. K\u00fcrzlich deckten unsere Experten einen weiteren Fall auf: Angreifer verbreiten den sch\u00e4dlichen TookPS-Downloader \u00fcber Fake-Websites mit Gratis-Downloads f\u00fcr Profi-Software. TookPS kennen wir bereits von gef\u00e4lschten DeepSeek- und Grok-Clients<\/a>. Wir entdeckten eine ganze Reihe solcher Websites, auf denen gecrackte Versionen<\/a> von UltraViewer, AutoCAD, SketchUp und anderer beliebter professioneller Software angeboten wurde. Der Angriff richtete sich also nicht nur auf Heimanwender, sondern auch auf professionelle Freelancer und Unternehmen. Unter den anderen erkannten sch\u00e4dlichen Dateien befanden sich Ableton.exe<\/em> und QuickenApp.exe<\/em>, angeblich Versionen von bekannten Anwendungen zum Musikmachen und Finanzmanagement.<\/p>\n

\"Gef\u00e4lschte<\/a>

Gef\u00e4lschte Seiten, die TookPS verbreiten<\/p><\/div>\n

Auf Umwegen lud das Installationsprogramm zwei Backdoors<\/a> auf das Ger\u00e4t des Opfers herunter: Backdoor.Win32.TeviRat<\/strong> und Backdoor.Win32.Lapmon<\/strong>. In einem anderen Securelist-Artikel<\/a> erf\u00e4hrst du genau, wie sich die Malware auf das Ger\u00e4t des Opfers einschleichen konnte. Durch die Malware erlangten die Angreifer vollen Zugriff auf den Computer des Opfers.<\/p>\n

So kannst du dich sch\u00fctzen<\/h2>\n

Erstens: Lade keine Raubkopien herunter! Unter keinen Umst\u00e4nden. Und niemals. Ein gecracktes Programm kann verlockend sein. Es ist sofort verf\u00fcgbar und kostenlos. Aber der Preis, den du daf\u00fcr zahlst, wird nicht in Geld gemessen, sondern es geht um Daten\u00a0\u2013 und zwar um deine Daten. Und damit sind nicht Familienfotos und Chats mit Freunden gemeint. Cyberkriminelle haben es auf deine Krypto-Wallets, Zahlungskartendaten und Kontopassw\u00f6rter\u00a0 abgesehen. Und manchmal sogar auf deine Computerressourcen, um Kryptoguthaben zu sch\u00fcrfen.<\/p>\n

Die folgenden Regeln wollen wir allen ans Herz legen, die SourceForge, GitHub<\/a> und andere Softwareportale nutzen.<\/p>\n