{"id":32954,"date":"2025-12-11T13:46:56","date_gmt":"2025-12-11T11:46:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32954"},"modified":"2025-12-23T11:27:47","modified_gmt":"2025-12-23T09:27:47","slug":"syncro-remote-admin-tool-on-ai-generated-fake-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/32954\/","title":{"rendered":"Angreifer nutzen Syncro und KI-generierte Websites"},"content":{"rendered":"

Wir haben schon wieder eine neue b\u00f6sartige Kampagne entdeckt, die einen ziemlich faszinierenden Ansatz verfolgt. Die Angreifer erstellen hausgemachte signierte Versionen eines legitimen Remote-Zugriffs-Tools (RAT). Dann werden mit einem KI-gest\u00fctzten Dienst massenhaft Webseiten generiert, die nicht nur b\u00f6sartig sind, sondern auch sehr \u00fcberzeugend wirken. Sie geben sich als offizielle Websites f\u00fcr verschiedene Programme aus und verbreiten das Tool. Und als Zugabe gibt es einen Trojaner.<\/p>\n

Hier erf\u00e4hrst du, wie dieser Angriff funktioniert, warum er f\u00fcr Nutzer h\u00f6chst riskant ist und wie du dich sch\u00fctzen kannst.<\/p>\n

Wie der Angriff funktioniert<\/h2>\n

Offenbar verwenden die Kriminellen mehrere Ausgangspunkte f\u00fcr ihre Angriffe. Erstens: Sie setzen eindeutig darauf, dass viele Nutzer \u00fcber eine einfache Google-Suche auf die gef\u00e4lschten Seiten gelangen. Warum? Die Adressen der Fake-Websites haben normalerweise Adressen, die mit h\u00e4ufigen Suchanfragen \u00fcbereinstimmen oder diesen sehr \u00e4hnlich sind.<\/p>\n

\"Gef\u00e4lschte<\/a>

In den Google-Suchergebnissen gibt es manchmal eine Reihe von gef\u00e4lschten Pok\u00e9mon-Websites, die sich als legitim ausgeben. In diesem Fall sind es Klone von Polymarket<\/p><\/div>\n

Zweitens: Als Alternative fahren die Angreifer b\u00f6sartige E-Mail-Kampagnen. In diesem Fall erh\u00e4lt der Nutzer eine E-Mail mit einem Link zu einer gef\u00e4lschten Website. Die Nachricht k\u00f6nnte etwa so aussehen:<\/p>\n

Hallo $DOP-Inhaber
\ndas Migrationsfenster f\u00fcr DOP-v1 auf DOP-v2 wurde offiziell geschlossen. Es wurden \u00fcber 8 Milliarden Token migriert.\u00a0<\/span>
\nEine tolle Neuigkeit: Ab sofort ist das DOP-v2-Reklamationsportal GE\u00d6FFNET!\u00a0<\/span>
\nIn diesem Portal k\u00f6nnen alle $DOP-Inhaber risikolos\u00a0ihre Token\u00a0anfordern und in die n\u00e4chste Phase des \u00d6kosystems eintreten.\u00a0<\/span>
\nFordere jetzt deine DOP-v2-Token an auf https:\/\/migrate-dop{dot}org\/\u00a0<\/span>
\nWillkommen bei DOP-v2\u202f\u2013 heute beginnt ein st\u00e4rkeres, intelligenteres und profitableres Kapitel.\u00a0<\/span>
\nVielen Dank, dass du an dieser Reise teilnimmst.\u00a0<\/span>
\nDein DOP-Team<\/code><\/p>\n

Einige der sch\u00e4dlichen Seiten, die wir in dieser Kampagne entdeckt haben, waren als Websites von Antivirenprogrammen oder Password-Managern getarnt. Solche Seiten warnen vor Sicherheitsproblemen, die es gar nicht gibt, und wollen die Besucher damit erschrecken.<\/p>\n

\"F\u00e4lschung:<\/a>

Eine gef\u00e4lschte Avira-Website warnt vor einer Schwachstelle und empfiehlt, ein \u201eUpdate\u201c herunterzuladen<\/p><\/div>\n

Die Angreifer nutzen au\u00dferdem eine Taktik, die als Scareware<\/a> bekannt ist: Sie schleusen eine unsichere Anwendung ein, die als Schutz vor einer imagin\u00e4ren Bedrohung getarnt ist.<\/p>\n

<\/a>

Eine gef\u00e4lschte Dashlane-Seite warnt vor einer \u201eschwerwiegenden Offenlegung von Verschl\u00fcsselungsmetadaten, die die Cloud-Relay-Synchronisation beeintr\u00e4chtigt\u201c. Was das bedeuten soll, bleibt schleierhaft. Das Problem l\u00e4sst sich nat\u00fcrlich beheben. Daf\u00fcr musst du jedoch etwas herunterladen<\/p><\/div>\n

Gef\u00e4lschte Websites, die mit Lovable erstellt wurden<\/h2>\n

Obwohl die gef\u00e4lschten Websites, die an dieser b\u00f6sartigen Kampagne beteiligt sind, unterschiedliche Inhalte haben, fallen einige Gemeinsamkeiten auf. Zun\u00e4chst einmal sind die meisten Adressen nach dem Muster {Name einer beliebten App} + desktop.com<\/em> aufgebaut. Diese URL stimmt offensichtlich mit einer h\u00e4ufigen Suchanfrage \u00fcberein.<\/p>\n

Au\u00dferdem sehen die Fake-Seiten ziemlich professionell aus. Interessanterweise entspricht das Design der gef\u00e4lschten Websites nicht genau den Originalen. Es sind keine einwandfreien Klone. Vielmehr sind es sehr \u00fcberzeugende Variationen. Ein gutes Beispiel sind gef\u00e4lschte Versionen der Krypto-Wallet-Seite \u201eLace\u201c. Eine davon sieht so aus:<\/p>\n

<\/a>

Eine Variante der gef\u00e4lschten Lace-Website<\/p><\/div>\n

Eine andere sieht so aus:<\/p>\n

\"Eine<\/a>

Eine zweite Variante der gef\u00e4lschten Lace-Website<\/p><\/div>\n

Diese F\u00e4lschungen sehen der urspr\u00fcnglichen Lace-Website sehr \u00e4hnlich, zeigen aber dennoch viele Unterschiede:<\/p>\n

\"Die<\/a>

Die gef\u00e4lschten Versionen sehen der echten Lace-Website sehr \u00e4hnlich, unterscheiden sich jedoch in einigen Punkten. Quelle<\/a><\/p><\/div>\n

Daf\u00fcr gibt es eine Erkl\u00e4rung: Die Angreifer nutzten einen KI-basierten Web-Builder, um die gef\u00e4lschten Seiten zu erstellen. Vermutlich hatten es die Angreifer eilig und hinterlie\u00dfen versehentlich verr\u00e4terische Artefakte. Darum konnten wir den verwendeten Dienst identifizieren. Es ist Lovable.<\/p>\n

Durch den Einsatz des KI-Tools konnten die Angreifer bei der Erstellung gef\u00e4lschter Websites viel Zeit sparen\u00a0 und F\u00e4lschungen wie am Flie\u00dfband produzieren.<\/p>\n

Das Fernverwaltungstool \u201eSyncro\u201c<\/h2>\n

Die gef\u00e4lschten Websites, die an dieser Kampagne beteiligt sind, haben ein weiteres Merkmal gemeinsam: Alle verteilen genau den gleichen b\u00f6sartigen Code. Die Angreifer haben weder einen eigenen Trojaner entwickelt, noch einen auf dem illegalen Markt gekauft. Stattdessen verwenden sie eine eigene Version des v\u00f6llig legitimen Remote-Verwaltungstools \u201eSyncro\u201c.<\/p>\n

Die Original-App dient der zentralen \u00dcberwachung und dem Fernzugriff. Sie wird h\u00e4ufig von IT-Support-Teams in Unternehmen und von Managed-Service-Providern (MSPs) eingesetzt. Syncro-Dienste sind relativ g\u00fcnstig. Ein Monatsabo kostet ab 129 US-Dollar f\u00fcr eine unbegrenzte Anzahl verwalteter Ger\u00e4te.<\/p>\n

<\/a>

Gef\u00e4lschte Krypto-Wallet-Seite \u201eYoroi\u201c<\/p><\/div>\n

Das Tool besitzt einige wichtige Funktionen: Neben der Bildschirmfreigabe bietet es auch die Remote-Ausf\u00fchrung von Befehlen, Datei\u00fcbertragung, Protokollanalyse, Bearbeitung der Registrierung und andere Hintergrundaktionen. Der wichtigste Vorteil von Syncro ist jedoch ein vereinfachter Installations- und Verbindungsvorgang. Der Nutzer (oder besser gesagt: das Opfer) muss die Installationsdatei nur herunterladen und ausf\u00fchren.<\/p>\n

Die Installation verl\u00e4uft komplett im Hintergrund und l\u00e4dt heimlich eine b\u00f6sartige Syncro-Version auf den Computer herunter. Da die CUSTOMER_ID der Angreifer fest im Build codiert ist, erhalten sie sofort die vollst\u00e4ndige Kontrolle \u00fcber den attackierten Computer.<\/p>\n

\"Fenster<\/a>

Das Fenster des Syncro-Installationsprogramms erscheint f\u00fcr wenige Sekunden auf dem Bildschirm, und nur ein aufmerksamer Nutzer bemerkt, dass die falsche Software installiert wird<\/p><\/div>\n

Zugriff und k\u00f6nnen ihr b\u00f6ses Werk verrichten. Der Kontext deutet darauf hin, dass offenbar Krypto-Wallet-Schl\u00fcssel von den Opfern gestohlen und Gelder auf die Konten der Angreifer abgezweigt werden sollen.<\/p>\n

<\/a>

Noch eine gef\u00e4lschte Website, diesmal f\u00fcr das DeFi-Protokoll \u201eLiqwid\u201c. Obwohl es f\u00fcr Liqwid nur eine Web-Anwendung gibt, bietet die gef\u00e4lschte Website auch Versionen f\u00fcr Windows, macOS und Linux zum Download an<\/p><\/div>\n

So sch\u00fctzt du dich vor diesen Angriffen<\/h2>\n

Diese b\u00f6sartige Kampagne ist aus zwei Gr\u00fcnden h\u00f6chst bedrohlich. Erstens: Die KI-generierten Fake-Websites sehen sehr professionell aus und ihre URLs erregen kaum Verdacht. Nat\u00fcrlich unterscheiden sich sowohl das Design als auch die Dom\u00e4nen der gef\u00e4lschten Seiten deutlich von den echten. Dies f\u00e4llt jedoch nur bei einem direkten Vergleich auf. Auf den ersten Blick kann die F\u00e4lschung leicht mit dem Original verwechselt werden.<\/p>\n

Zweitens: Die Angreifer verwenden ein legitimes Remote-Tool f\u00fcr den Zugriff auf fremde Ger\u00e4te. Dadurch wird der Nachweis einer Infektion schwieriger.<\/p>\n

F\u00fcr solche F\u00e4lle hat unsere Sicherheitsl\u00f6sung<\/a> das spezielle Verdikt \u201eNot-a-virus\u201c<\/a>. Es wird unter anderem zugewiesen, wenn auf einem Ger\u00e4t mehrere Remote-Zugriffs-Tools gefunden werden (zu denen auch das legitime Syncro geh\u00f6rt). Syncro-Builds, die b\u00f6sartigen Zwecken dienen, werden von unserer Sicherheitsl\u00f6sung<\/a>\u00a0als HEUR:Backdoor.OLE2.RA-Based.gen<\/em> erkannt.<\/p>\n

Noch ein wichtiger Punkt: Antivirenprogramme blockieren nicht standardm\u00e4\u00dfig alle legitimen Fernverwaltungstools, andernfalls w\u00fcrde der legale Einsatz solcher Tools unn\u00f6tig erschwert. Darum solltest du den Benachrichtigungen deiner Sicherheitsl\u00f6sung besondere Aufmerksamkeit schenken. Wenn du gewarnt wirst, dass auf deinem Ger\u00e4t Software des Typs Not-a-virus<\/em> erkannt wurde, nimm die Warnung ernst und \u00fcberpr\u00fcfe unbedingt, welches Programm gemeint ist.<\/p>\n

Wenn du Kaspersky Premium<\/a>\u00a0installiert hast, verwende die Funktion \u201eErkennung von Fernzugriffen\u201c<\/a> und gegebenenfalls die entsprechende L\u00f6sch-Option f\u00fcr sch\u00e4dliche Apps (im Premium-Abonnement verf\u00fcgbar). Diese Funktion erkennt etwa 30 g\u00e4ngige legitime Fernzugriffsanwendungen. Falls du eine entsprechende Warnung erh\u00e4ltst und das Tool nicht selbst installiert hast, solltest du die Sache gr\u00fcndlich \u00fcberpr\u00fcfen.<\/p>\n

\"Kaspersky<\/a>

Kaspersky Premium erkennt auch legitime Versionen von Syncro und anderen Fernzugriffsanwendungen (und hilft dir beim Entfernen).<\/p><\/div>\n

Weitere Tipps:<\/p>\n