MalwareSchwachstellenIoT-Sicherheit

Für 10 Dollar zum Supermalware-Schlüssel: 25.000 Geräte weltweit gefährdet

Für 10 Dollar zum Supermalware-Schlüssel: 25.000 Geräte weltweit gefährdet
Zusammenfassung

Sicherheitsforschende der Firma Huntress haben eine beunruhigende Entdeckung gemacht: Sie fanden Schadsoftware, die sich als harmlose Adware tarnt, aber in Wirklichkeit tausende von Computern weltweit kompromittiert hat. Das Besonders alarmierende daran ist, dass Cyberkriminelle theoretisch die Kontrolle über mehr als 25.000 infizierte Systeme hätten übernehmen können – indem sie einfach eine unregistrierte Domain für etwa 10 Dollar kaufen. Die vom Software-Hersteller Dragon Boss Solutions signierte Malware deaktiviert gezielt Sicherheitssoftware und öffnet Tür und Tor für weitere gefährliche Angriffe wie Ransomware oder Kryptominer. Besonders besorgniserregend ist das Ausmaß der Infektionen in sensiblen Netzwerken: Hunderte von Universitäten, Behörden, Krankenhäuser und kritische Infrastrukturen wie Stromversorger und Verkehrsbetriebe sind betroffen. Mit etwa 2.000 infizierten Endpunkten ist auch Deutschland erheblich von dieser Kampagne betroffen – ein deutliches Zeichen dafür, wie verwundbar selbst größere Organisationen gegenüber solch subtilen Bedrohungen sein können. Das Incident zeigt einmal mehr, dass Vorsicht beim Herunterladen von Software und regelmäßige Sicherheitsüberprüfungen essentiell sind.

Die Entdeckung illustriert ein klassisches Sicherheitsszenario: Was zunächst harmlos wirkt, entpuppt sich als hochgefährliche Bedrohung. Seit März 2025 beobachteten Huntress-Analysten, wie die von Dragon Boss Solutions signierte Software eine PowerShell-basierte Schadsoftware verteilte, die mit erhöhten Berechtigungen arbeitete. Deren Aufgabe war brutal einfach: Sicherheitssoftware deaktivieren, deren Update-Server blockieren und deren Neuinstallation verhindern.

Die Persistierung erfolgte über fünf geplante Aufgaben und WMI-Event-Abonnements, die sogar Neustarts überstanden. Besonders tückisch: Das Malware-Programm trug Windows-Defender-Ausnahmen für Verzeichnisse ein, in denen zukünftige Payloads gestaged werden konnten — Cryptominer, Ransomware oder Infostealers.

Doch die wahre Schwachstelle lag in der Update-Infrastruktur. Die primäre Domain chromsterabrowser[.]com war schlicht nicht registriert. Jeder, der diese zehn-Dollar-Domain gekauft hätte, könnte beliebigen Code auf allen 25.000 infizierten Systemen ausführen — ohne einen Exploit, denn der Antivirus war bereits deaktiviert.

Huntress registrierte die Domain präventiv und installierte einen Sinkhole. Das Ergebnis schockierte: Etwa 25.000 eindeutige IP-Adressen versuchten, Aktualisierungsinstruktionen abzurufen. Die Infektionen verteilten sich über 124 Länder, mit über 12.000 Hosts in den USA. Deutschland verzeichnete rund 2.000 betroffene Systeme.

Besonders beunruhigend war das Profil der High-Value-Targets: 221 Universitäten und Hochschulen, 41 OT-Netzwerke (darunter Stromversorger, Verkehrsanbieter und Stromgenossenschaften), 35 Behörden und drei Gesundheitseinrichtungen. Mehrere Fortune-500-Unternehmen waren ebenfalls betroffen.

Die Entdeckung verdeutlicht ein systematisches Problem: Scheinbar harmlose PUPs werden zu Einfallstoren für kritische Malware. Für Organisationen bedeutet dies eine dringende Suche nach Indikatoren der Kompromittierung (IoCs), um potenzielle Auswirkungen dieser Kampagne zu erkennen. Die Tatsache, dass so viele kritische Systeme verwundbar waren, zeigt: Sicherheit ist nur so gut wie das schwächste Glied in der Kette.

Ähnliche Artikel