Zum Inhalt springen

Kaspersky warnt vor 90+ gefälschten Download-Domains für AsyncRAT-Infektionen

Auf den Punkt: Cyberkriminelle betreiben über 90 gefälschte Domains für beliebte Windows-Software und nutzen DLL-Sideloading mit ScreenConnect als Brücke zum AsyncRAT-Trojaner, um Fernzugriff und Zugangsdaten zu stehlen.

Kaspersky hat eine Kampagne mit über 90 betrügerischen Domains dokumentiert, die legitime Software-Download-Seiten imitieren. Über manipulierte Installationsdateien gelangen Angreifer per DLL-Sideloading und ScreenConnect-Deployment zum Trojaner AsyncRAT und damit zu vollständiger Systemkontrolle.

Kaspersky hat eine großflächig angelegte Infektionskampagne identifiziert, bei der Angreifer Webseiten betreiben, die offizielle Download-Plattformen bekannter Software-Produkte imitieren. Zu den nachgeahmten Programmen gehören OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam. Insgesamt wurden mehr als 90 betrügerische Domains in zehn Sprachen nachgewiesen, darunter Deutsch, Englisch, Spanisch und Chinesisch. Die Akteure nutzen Suchmaschinenoptimierung, um diese Seiten in Suchergebnissen prominent zu platzieren. Die Domain-Registrierungen zeigten im Februar 2026 einen vorläufigen Höhepunkt.

Der Infektionsmechanismus nutzt manipulierte Archivdateien, die zwei Komponenten enthalten: eine legitime, digital signierte Microsoft-Datei namens install.exe sowie eine präparierte Bibliothek install.res.1033.dll. Beim Ausführen der vorgetäuschten Installationsdatei wird per DLL-Sideloading die schädliche Bibliothek im Hintergrund geladen. Dies triggert die Installation des Fernwartungstools ScreenConnect, das auf Whitelists typischerweise mit erweiterten Berechtigungen ausgestattet ist. Im Anschluss laden die Angreifer den Open-Source-Trojaner AsyncRAT nach, der vollständige Systemkontrolle ermöglicht. Dieses Vorgehen war bereits 2025 in Einsatz, wurde damals aber mit Game-Installer-Archiven durchgeführt.

Nach erfolgreicher Kompromittierung zielen die Angreifer auf den Diebstahl von Zugangsdaten und unbefugten Systemzugriff. Die gestohlenen Daten werden typischerweise in Darknet-Foren weiterverkauft. Das Angriffsmodell adressiert sowohl Privatnutzer, die kostenlose Software aus dem Internet beziehen, als auch Unternehmensnetzwerke, in denen Fernzugriffstools als vertrauenswürdig eingestuft sind.

Zur Risikominderung empfiehlt Kaspersky für Organisationen: Softwareinstallation über Allow-Lists kontrollieren, MSI-Pakete aus unbekannten Quellen blockieren, Fernwartungsdienste und automatisierte Systemaufgaben kontinuierlich überwachen, ausgehenden Netzwerkverkehr zu unbekannten Domains serverseitig filtern, sowie Mitarbeiterschulung zu Cybersicherheitsrisiken durchführen und Systeme auf kompromittierte Zugangsdaten prüfen. Privatnutzer sollten Software ausschließlich von offiziellen Herstellerseiten beziehen, Zwei-Faktor-Authentifizierung aktivieren, URLs vor Downloads auf Korrektheit überprüfen und aktive Sicherheitslösungen einsetzen.


Quelle: www.it-daily.net · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: