Cyberkriminelle verbreiten manipulierte Gaming-Werkzeuge, die eine Java-basierte Remote-Access-Malware installieren. Microsoft warnt vor einem mehrstufigen Angriff, der sich durch das Löschen von Spuren und Defender-Ausnahmen tarnt.
Cyberkriminelle locken Nutzer mit trojanisierten Gaming-Utilities in die Falle, die über Browser und Chat-Plattformen verbreitet werden, um eine Remote-Access-Trojan (RAT) einzuschleusen.
Wie Microsofts Threat-Intelligence-Team mitteilt, nutzt ein bösartiger Downloader eine portable Java-Laufzeitumgebung und führt eine manipulierte JAR-Datei namens jd-gui.jar aus. Für die unauffällige Ausführung kommen PowerShell und sogenannte Living-off-the-Land-Binaries wie cmstp.exe zum Einsatz.
Die Angriffskette ist speziell darauf ausgelegt, Sicherheitsmechanismen zu umgehen: Der initiale Downloader wird gelöscht, und Microsoft Defender wird so konfiguriert, dass die RAT-Komponenten nicht erkannt werden. Die Persistenz wird durch einen geplanten Task und ein Windows-Startskript namens “world.vbs” gewährleistet. Das Schadsoftware-Modul fungiert als Multi-Purpose-Malware, die als Loader, Runner, Downloader und RAT agiert.
Nach der Aktivierung verbindet sich die Malware mit dem Command-and-Control-Server unter der IP-Adresse 79.110.49.15 und ermöglicht so Datenabfluss und die Installation zusätzlicher Payloads.
Zum Schutz empfehlen Experten, Microsoft-Defender-Ausnahmen und geplante Tasks zu überprüfen, verdächtige Aufgaben zu entfernen und betroffene Systeme zu isolieren sowie Anmeldedaten zurückzusetzen.
Parallel dazu hat das Sicherheitsunternehmen BlackFog eine neue Windows-RAT-Familie namens Steaelite dokumentiert, die seit November 2025 auf kriminellen Foren als “bestes Windows-RAT” mit “vollständig unerkannter” Funktionalität beworben wird. Die Malware ist mit Windows 10 und 11 kompatibel.
Im Gegensatz zu anderen handelsüblichen RATs kombiniert Steaelite Datendiebstahl und Ransomware in einer Plattform – ein Android-Ransomware-Modul ist in Entwicklung. Das Kontrollpanel bietet umfassende Funktionen wie Keylogging, Live-Chat, Dateisuchfunktion, USB-Verbreitung und UAC-Umgehung. Auch das Entfernen von Konkurrenz-Malware und das Deaktivieren von Windows Defender gehören zu den Möglichkeiten.
Die Hauptfunktionen umfassen Remote-Code-Ausführung, Dateiverwaltung, Live-Streaming, Webcam- und Mikrofonzugriff, Prozessmanagement, Zwischenablage-Überwachung, Passwortdiebstahl und DDoS-Attacken. Ein einzelner Angreifer kann über ein webbasiertes Dashboard Dateien durchsuchen, Dokumente abfassen, Anmeldedaten sammeln und Ransomware bereitstellen – alles von einer Oberfläche aus, wie Sicherheitsforscherin Wendy McCague erklärt.
In den letzten Wochen haben Bedrohungsanalytiker zudem zwei neue RAT-Familien – DesckVB RAT und KazakRAT – identifiziert. KazakRAT wird laut Ctrl Alt Intel einem mutmaßlich staatlich geförderten Akteur zugeordnet, der seit mindestens August 2022 kasachische und afghanische Ziele angreift.
Quelle: The Hacker News