AsyncRAT-Kampagne: Hacker nutzen 90 Fake-Domains in 10 Sprachen
02.07.2026 - 11:31:25 | boerse-global.de
Eine groß angelegte Hacker-Kampagne setzt auf gefälschte Software-Downloads und SEO-Manipulation, um Schadsoftware zu verbreiten. Sicherheitsforscher von Kaspersky haben die Operation aufgedeckt, die über ein Netzwerk betrügerischer Websites den Fernzugriffs-Trojaner AsyncRAT verbreitet.
Über 90 Fake-Domains in zehn Sprachen
Die Täter registrierten mehr als 90 betrügerische Domains in zehn verschiedenen Sprachen – darunter Deutsch, Englisch, Spanisch, Arabisch, Russisch, Portugiesisch und Chinesisch. Von August 2025 bis März 2026 optimierten sie diese Seiten für Suchmaschinen, um bei der Suche nach kostenloser Software oder beliebten Tools ganz oben zu erscheinen.
Besonders perfide: Die gefälschten Installer tarnten sich als legitime Anwendungen wie OBS Studio, DNS Jumper, DS4Windows, Bandicam oder Glary Utilities. Die höchste Aktivität bei der Domain-Registrierung verzeichneten die Forscher im Februar 2026.
So läuft der Angriff ab
Der Infektionsprozess beginnt, sobald ein Nutzer eine kompromittierte Installationsdatei herunterlädt und ausführt. Die Malware nutzt eine Technik namens DLL-Sideloading – konkret über eine Datei mit dem Namen install.res.1033.dll. Sobald der Prozess startet, führt ein PowerShell-Skript gezielte Angriffe auf die Sicherheitsfunktionen des Systems aus: Windows Defender und die Benutzerkontensteuerung (UAC) werden deaktiviert.
Wer die AsyncRAT-Kampagne mit über 90 Fake-Domains in zehn Sprachen für sein Unternehmen bewerten will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von der Erkennung gefälschter Installer bis zur Härtung von Windows Defender. Jetzt kostenlosen Schutz-Report anfordern
Im nächsten Schritt setzen die Angreifer auf Process Hollowing. Dabei wird der AsyncRAT-Schadcode in den legitimen Prozess RegAsm.exe injiziert. Der Trojaner arbeitet so direkt im Arbeitsspeicher des Systems – und bleibt von herkömmlicher Sicherheitssoftware oft unbemerkt.
Dauerhafter Zugriff durch getarnte Steuerung
Um langfristig auf die kompromittierten Systeme zugreifen zu können, richtet die Malware eine geplante Aufgabe ein, die alle zwei Minuten ausgeführt wird. So bleibt AsyncRAT selbst dann aktiv, wenn der ursprüngliche Prozess beendet wird.
DLL-Sideloading und Process Hollowing umgehen selbst aktuelle Sicherheitslösungen – KMU brauchen eine spezifische Abwehrstrategie. Dieser Leitfaden zeigt, wie Sie AsyncRAT-Infektionen erkennen und Ihre Systeme dauerhaft absichern. Sofort-Maßnahmen jetzt herunterladen
Die Kommando- und Kontrollinfrastruktur (C2) der Kampagne läuft über die Adresse mora1987.work[.]gd. Indem die Angreifer die schädlichen Aktivitäten hinter der legitimen ScreenConnect-Software verstecken, umgehen sie bestimmte Sicherheitsprotokolle. Die Kampagne richtet sich sowohl gegen einzelne Nutzer als auch gegen größere Unternehmensnetzwerke.
Für Unternehmen und Privatanwender heißt das: Vorsicht bei der Suche nach kostenloser Software. Offizielle Quellen und vertrauenswürdige Download-Portale sind der sicherste Weg – Suchmaschinen-Ergebnisse allein sind längst kein Garant mehr für Sicherheit.
