Lazarus erbeutet 577 Millionen Dollar in vier Monaten

Sicherheitsforscher haben eine neue Angriffswelle entdeckt, die ValleyRAT-Malware über manipulierte Microsoft-Teams-Downloadseiten verbreitet. Die Kampagne zielt gezielt auf Unternehmensnetzwerke ab und nutzt das Vertrauen in die bekannte Kollaborationssoftware aus.

Da Angreifer gezielt die Infrastruktur für mobiles Arbeiten ausnutzen, ist die Absicherung von Home-Office-Zugängen heute wichtiger denn je. Dieser kostenlose Ratgeber bietet Ihnen fertige Checklisten und Vorlagen, um Ihre Remote-Teams sofort rechtssicher und datenschutzkonform aufzustellen. Rechtssicheres Home-Office in 3 einfachen Schritten einrichten

Die Infektionskette im Detail

Die Angreifer haben mehrere betrügerische Domains registriert, darunter teams-securecall[.]com und teamszs[.]com. Diese Seiten imitieren täuschend echt die offiziellen Microsoft-Teams-Downloadportale. Wer darauf hereinfällt, lädt ein präpariertes ZIP-Archiv herunter.

Im Inneren verbirgt sich eine mehrstufige Infektionskette. Die Analyse von K7 Security Labs zeigt: Ein harmlos wirkendes Programm namens GameBox.exe lädt eine manipulierte Datei utility.dll – ein klassisches DLL-Sideloading. Der Schädling deaktiviert daraufhin den Windows Defender durch gezielte Ausnahmen und installiert sich als Systemdienst, um dauerhaft im System zu verankern.

ValleyRAT selbst wird erst im Arbeitsspeicher entschlüsselt und geladen. Diese „reflective Loading"-Technik hinterlässt kaum Spuren auf der Festplatte. Einmal aktiv, gibt die Malware ihren Betreibern weitreichende Kontrolle: Sie zeichnet Tastatureingaben auf, überwacht die Zwischenablage und hält eine ständige Verbindung zu einem Kommando-Server.

Phishing-as-a-Service: MFA wird zur Falle

Parallel zu ValleyRAT treiben andere Gruppen ihr Unwesen. Das FBI warnte bereits im Frühjahr vor der Plattform Kali365, einem Phishing-as-a-Service-Angebot, das seit April 2026 über Telegram vertrieben wird.

Die Methode ist raffiniert: Kali365 nutzt sogenanntes Device-Code-Phishing, das selbst eine mehrstufige Authentifizierung (MFA) aushebeln kann. Das Opfer wird auf eine legitime Microsoft-Seite gelockt und zur Eingabe eines Codes aufgefordert. Im Hintergrund kapern die Angreifer die dabei generierten OAuth-Tokens – und erhalten so dauerhaften Zugriff auf Outlook, Teams und OneDrive.

Sicherheitsexperten von Arctic Wolf berichten von weltweiten Kampagnen, die genau diese Technik einsetzen. Unternehmen sollten dringend Device-Code-Authentifizierungen einschränken und bedingte Zugriffsrichtlinien einführen.

Microsoft Teams, Outlook und OneDrive sind primäre Ziele für moderne Phishing-Attacken, die sogar die Multifaktor-Authentifizierung umgehen können. Das kostenlose Anti-Phishing-Paket enthüllt die psychologischen Tricks der Hacker und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv schützen. Anti-Phishing-Paket jetzt gratis herunterladen

SEO-Vergiftung: Wenn Suchmaschinen zur Gefahr werden

Die Angreifer werden immer kreativer. Eine mit dem Iran in Verbindung gebrachte Gruppe namens Nimbus Manticore setzt auf SEO-Vergiftung. Sie erstellte gefälschte Domains, die Oracle SQL Developer nachahmen. Durch gezielte Suchmaschinenoptimierung – mit Schlüsselwörtern und künstlichen Backlinks – landeten diese Seiten bei Suchanfragen auf Bing und DuckDuckGo weit oben.

Zwischen Februar und April 2026 verteilte die Gruppe so die Hintertür MiniFast, ein 64-Bit-Werkzeug für dauerhaften Fernzugriff. Die Malware kann Befehle ausführen, Dateien verwalten und versucht, höhere Berechtigungen zu erlangen – getarnt als legitimer Webverkehr.

Eine weitere Gruppe, Screening Serpens, setzt auf Varianten der Schädlinge MiniUpdate und MiniJunkRAT. Sie tarnen ihre Angriffe als gefälschte Bewerbungsunterlagen oder manipulierte Videokonferenz-Installer. Besonders perfide: Die Kommando-Server laufen auf Azure-Domains, um als harmloser Cloud-Verkehr durchzugehen.

Lazarus: 577 Millionen Dollar in vier Monaten

Die größte finanzielle Gefahr geht weiterhin von der nordkoreanischen Lazarus-Gruppe aus. In den ersten vier Monaten 2026 erbeutete die Gruppe rund 577 Millionen Dollar in Kryptowährungen – das sind mehr als drei Viertel aller weltweit gestohlenen Krypto-Werte in diesem Zeitraum.

Lazarus setzt dabei auf den speicherresidenten Schädling RemotePE. Diese dateilose Malware wird über Social Engineering auf Telegram verbreitet: Angreifer geben sich als Personalvermittler aus und laden zu gefälschten Vorstellungsgesprächen ein. Da RemotePE ausschließlich im Arbeitsspeicher läuft und sogar die Ereignisüberwachung von Windows manipuliert, bleibt es für herkömmliche Sicherheitssoftware nahezu unsichtbar.

Andere nordkoreanische Gruppen wie Void Dokkaebi haben ihre Malware speziell auf Entwickler zugeschnitten. Ihre Hintertür InvisibleFerret wird als kompilierte Python- und macOS-Datei ausgeliefert, um Skript-basierte Erkennung zu umgehen.

Was Unternehmen jetzt tun müssen

Die Angriffsmuster zeigen einen klaren Trend: Kriminelle missbrauchen zunehmend vertrauenswürdige Marken und legitime Cloud-Dienste. Herkömmliche Perimeter-Verteidigung reicht nicht mehr aus.

Sicherheitsexperten empfehlen einen identitätszentrierten Sicherheitsansatz. Dazu gehören die strikte Einschränkung riskanter Authentifizierungsverfahren und eine aggressive Überwachung von OAuth-Zustimmungsaktivitäten. Besonders gefährdet sind Entwicklerumgebungen – sie sind zum bevorzugten Einfallstor für Spionage und Finanzkriminalität geworden.

Die Botschaft ist klar: Jede nicht verifizierte Softwarequelle sollte mit äußerster Skepsis behandelt werden. Denn während die Angreifer KI-gestützte Werkzeuge und immer raffiniertere Tarnmethoden einsetzen, schrumpft das Zeitfenster für die Erkennung von Eindringlingen rapide.

de | wissenschaft | 69419892 |