MalwareCyberkriminalitätDatenschutz

DeepLoad: Neue Malware klaut Passwörter und verbreitet sich über USB-Sticks

DeepLoad: Neue Malware klaut Passwörter und verbreitet sich über USB-Sticks
Zusammenfassung

Die neu entdeckte Malware-Familie DeepLoad breitet sich derzeit in böswilligen ClickFix-Angriffskampagnen aus und stellt eine erhebliche Bedrohung für Privatnutzer und Unternehmen dar. Das Schadprogramm wurde Anfang Februar auf einem Dark-Web-Forum erstmals angeboten und zeichnet sich durch seine Fähigkeit aus, Anmeldedaten zu stehlen, bösartige Browser-Erweiterungen zu installieren und sich über USB-Sticks auszubreiten. Die erste dokumentierte Angriffswelle nutzt die populäre ClickFix-Technik, bei der Opfer durch gefälschte Browser-Fehlermeldungen dazu verleitet werden, schädliche Befehle auszuführen. DeepLoad wurde speziell für den Diebstahl von Kryptowährungen optimiert und richtet sich primär gegen Windows-Systeme. Das Besondere an dieser Bedrohung ist ihre Raffinesse: Die Malware nutzt legitime Windows-Prozesse als Verschleierungsmittel, umgeht Sicherheitsmechanismen durch speicherbasierten Payload-Ausführung und trennt sogar die Datenexfiltration von der Command-and-Control-Kommunikation. Für deutsche Nutzer und Unternehmen besteht ein konkretes Risiko, da ClickFix-Kampagnen sprachunabhängig funktionieren und die hohe Verschleierung die Erkennung durch Standard-Sicherheitstools erschwert.

Die Sicherheitsfirma ReliaQuest hat erstmals in-the-wild-Kampagnen dokumentiert, die die neue DeepLoad-Malware verbreiten. Das Schadprogramm war bereits im Februar 2024 auf dunklen Cybercrime-Foren aufgetaucht, wo es als “zentralisiertes Panel für mehrere Malware-Typen” angepriesen wurde. ZeroFox warnte damals vor der Malware und beschrieb sie als speziell auf Kryptowährungsraub ausgelegt – ein Geschäftsmodell, das im Cybercrime-as-a-Service-Umfeld hochgradig profitabel ist.

Die Angriffsweise ist perfide: Opfer sehen gefälschte Browser-Fehlermeldungen, die sie auffordern, einen Befehl in das Windows-Ausführungsfeld oder ein Terminal einzufügen. Dieser Befehl lädt dann einen PowerShell-Loader herunter, der die DeepLoad-Malware auf das System bringt. Die Malware ist dabei extrem raffiniert konstruiert: Sie generiert eine zweite Komponente in Form einer DLL, die jedes Mal mit anderem Dateinamen kompiliert wird – eine klassische Technik zur Umgehung von Antivirus-Programmen.

Besonders bemerkenswert ist die Verschleierungsstrategie: DeepLoad löscht die PowerShell-Befehlshistorie und nutzt Windows-Systemfunktionen direkt statt der eingebauten PowerShell-Befehle. Dies umgeht typische Sicherheitstools. Das Schadprogramm wird zudem in den legitimen Windows-Prozess LockAppHost.exe eingeschleust – ein Prozess, der normalerweise von Sicherheitssoftware nicht überwacht wird.

Die Funktionalität von DeepLoad ist umfangreich. Es stiehlt Anmeldedaten durch einen separaten Credential-Stealer, der parallel zum Hauptlader läuft. Besonders tückisch: Eine bösartige Browser-Erweiterung wird installiert, die “alles mitschreitet, was ein Nutzer tut” – von aktiven Logins über offene Tabs bis zu Session-Token und gespeicherten Passwörtern.

ReliaQuest beobachtete auch, dass DeepLoad sich über USB-Laufwerke verbreitet, eine Verbreitungsmethode, die lange als veraltet galt, aber in gezielten Kampagnen immer noch funktioniert. Besonders für Unternehmen mit USB-Richtlinien könnte dies problematisch sein.

Für deutsche Nutzer gelten die bewährten Sicherheitsmaßnahmen: Keine Befehle von unbekannten Webseiten kopieren und ausführen, auch wenn eine scheinbar offizielle Fehlermeldung dies fordert. Unternehmen sollten ihre Mitarbeiter sensibilisieren und technische Kontrollmechanismen implementieren, die die Ausführung verdächtiger PowerShell-Befehle blockieren.

Ähnliche Artikel