Microsoft-Update-Falle: Gefälschte Support-Seite verteilt Datenklau-Malware

Cybersicherheitsforscher entdecken eine raffinierte Phishing-Kampagne, die täuschend echte Microsoft-Seiten imitiert, um Passwörter und Zugangsdaten zu stehlen.

Ein neuer, besonders hinterhältiger Cyberangriff nutzt eine gefällschte Microsoft-Support-Website, um Nutzer zum Download von Schadsoftware zu verleiten. Wie Untersuchungen zeigen, lockt die Kampagne mit einem angeblichen kumulativen Update für Windows 11 Version 24H2. Statt Systemverbesserungen liefert die Seite jedoch einen mächtigen Information Stealer, der gespeicherte Passwörter, Browser-Cookies und sensible Sitzungsdaten von infizierten Rechnern abgreift.

4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen, wie verwundbar herkömmliche Passwörter gegenüber solchen raffinierten Phishing-Attacken sind. Schützen Sie Ihre Konten jetzt effektiv und erfahren Sie, wie Sie bei Amazon, WhatsApp & Co. auf die sicherere, passwortlose Anmeldung umsteigen. Kostenlosen Passkey-Report jetzt herunterladen

Die Kampagne ist laut Branchenanalysten besonders gefährlich, weil sie optisch hochwertig gestaltet ist und traditionelle Sicherheitsvorkehrungen umgeht. Erste Analysen ergaben, dass die schädliche Hauptdatei bei 69 verschiedenen Antiviren-Engines auf gängigen Scan-Plattformen keine einzige Erkennung auslöste. Indem die Angreifer das offizielle Erscheinungsbild und Branding von Microsofts eigenen Wartungsportalen nachahmen, nutzen sie das Vertrauen der Nutzer in routinemäßige Update-Prozesse aus.

Eine täuschend echte Fälschung

Im Zentrum der Kampagne steht eine sogenannte Typosquatting-Domain mit der Adresse microsoft-update[.]support. Die Seite, die von Forschern bei Malwarebytes identifiziert wurde, sieht einer echten Microsoft-Support-Seite täuschend ähnlich – inklusive bekannter Farben, Layouts und Fachbegriffe. Obwohl die erste Version der Seite auf Französisch verfasst war, warnen Experten, dass sich solche Kampagnen schnell auf andere Regionen und Sprachen ausweiten.

Um den Anschein von Legitimität zu erhöhen, verweist die betrügerische Seite auf eine spezifische Wissensdatenbank-Nummer, KB5034765. Dieser Identifikator ist zwar ein echtes Microsoft-Update, doch die Forscher weisen auf einen kritischen Unterschied hin: Das echte KB5034765 wurde bereits im Februar 2024 für ältere Windows-11-Versionen (22H2 und 23H2) veröffentlicht – nicht für die auf der Schadseite beworbene neuere Version 24H2. Diese subtile Diskrepanz wird von ahnungslosen Nutzern, die Update-Aufforderungen oft ungeprüft anklicken, leicht übersehen.

Die Seite zeigt einen auffälligen blauen Download-Button, der Besucher zur manuellen Installation des kumulativen Updates auffordert. Forscher betonen, dass dies ein deutlicher Bruch mit den Standardverfahren von Microsoft ist. Offizielle Updates werden nämlich typischerweise über das integrierte Windows Update-Menü in den Einstellungen verteilt und nicht über eigenständige Aufforderungen auf Drittanbieter-Domains.

Komplexe Technik und Tarnkappen-Strategie

Interagiert ein Nutzer mit dem Download-Button, erhält er eine 83 MB große Datei namens „WindowsUpdate 1.0.0.msi“. Die Analyse der Dateieigenschaften zeigt, dass die Angreifer die Metadaten sorgfältig gefälscht haben, um die Täuschung aufrechtzuerhalten. Das Autorenfeld ist auf „Microsoft“ gesetzt, der Titel lautet „Installation Database“.

Die interne Struktur der Malware ist bemerkenswert komplex und nutzt einen mehrschichtigen Ansatz. Das Installationsprogramm wurde mit dem WiX Toolset erstellt – einem legitimen Open-Source-Framework, das häufig für professionelle Windows-Installationspakete genutzt wird. Bei der Ausführung startet es nicht sofort einen traditionellen Virus, sondern richtet eine Electron-basierte Anwendung im AppData-Ordner des Nutzers ein.

Diese Anwendung nutzt dann ein Visual Basic-Skript, um eine getarnte Python-Umgebung zu starten. Diese Ausführungskette – von einem MSI-Installer über ein Skript bis zum Python-Interpreter – soll sich in legitime Software-Abläufe einfügen. So fällt es Verhaltensanalyse-Tools schwer, die Aktivität als bösartig zu kennzeichnen. Durch die Nutzung dieser gängigen Entwicklungswerkzeuge tarnten die Angreifer erfolgreich die Datendiebstahl-Module, die letztlich Nutzerinformationen abgreifen.

Dauerhafter Zugriff und systematischer Datendiebstahl

Neben der Fähigkeit, die Erst-Erkennung zu umgehen, ist die Malware darauf programmiert, auch nach einem Neustart aktiv zu bleiben. Die Forscher fanden heraus, dass der Installer einen spezifischen Eintrag in der Windows-Registrierungsdatenbank unter dem Namen „SecurityHealth“ anlegt. Dieser Name ist ein gezielter Versuch, den legitimen Windows Security Health Service nachzuahmen und so Untersuchungen durch Nutzer oder Administratoren abzuschrecken.

Zusätzlich platziert die Malware eine Verknüpfung namens Spotify.lnk im Autostart-Ordner des Systems. Während der Name auf die beliebte Musik-Streaming-App hindeutet, ist die Verknüpfung so konfiguriert, dass sie bei jedem Anmelden des Nutzers leise die Schadsoftware startet. Diese Doppelstrategie stellt sicher, dass die Angreifer so lange wie möglich Zugriff auf den Rechner behalten.

Ist die Infektion einmal etabliert, beginnt die Malware mit einer umfassenden Durchsuchung der Daten des Opfers. Ihre Hauptziele sind in Webbrowsern gespeicherte Zugangsdaten, Sitzungs-Cookies (die es Angreifern erlauben, die Zwei-Faktor-Authentifizierung zu umgehen) und Discord-Tokens. Sicherheitsexperten stellten zudem fest, dass die Malware in der Lage ist, zahlungsrelevante Informationen und andere sensible persönliche Dateien zu erfassen. Die gestohlenen Daten werden dann zu serverbasierten Command-and-Control-Zentren der Angreifer oder auf Drittanbieter-Filehoster übertragen.

Da Cyberkriminelle ihre Methoden zur Ausspähung privater Daten ständig verfeinern, ist ein proaktiver Schutz wichtiger denn je. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre digitale Sicherheit massiv erhöhen und Hackern keine Chance mehr lassen. Jetzt Ratgeber für sicheres Einloggen gratis anfordern

So schützen Sie sich

Die Entdeckung dieser Kampagne unterstreicht einen wachsenden Trend: Cyberkriminelle machen den Update-Prozess selbst zur Waffe. Sicherheitsfirmen raten eindringlich, Windows-Updates ausschließlich über das offizielle Einstellungs-Menü auf den eigenen Geräten herunterzuladen und zu installieren. Microsoft nutze keine zufälligen Drittanbieter-Supportseiten, um kritische kumulative Updates an die Allgemeinheit zu verteilen.

Für Personen, die befürchten, mit der betrügerischen Seite interagiert zu haben, empfehlen Experten sofortige Gegenmaßnahmen. Dazu gehören eine vollständige Systemprüfung mit aktualisierter Sicherheitssoftware und die manuelle Überprüfung auf das Vorhandenseist des „SecurityHealth“-Registrierungsschlüssels oder verdächtiger Autostart-Verknüpfungen wie dem gefälschten Spotify-Link. Da die Malware speziell zum Stehlen von Passwörtern und Sitzungen entwickelt wurde, sollten betroffene Nutzer umgehend ihre Zugangsdaten ändern und aktive Sitzungen für alle sensiblen Konten – wie Banking, E-Mail und soziale Medien – beenden.

Da die Kampagne noch aktiv ist, fordert die Branche zu erhöhter Wachsamkeit gegenüber Typosquatting-Domains auf. Analysten schlagen vor, dass Unternehmen strengere Endpoint-Regeln implementieren sollten, um ungewöhnliche Ausführungsketten von Installern zu Skripten zu kennzeichnen. Die zunehmende Professionalisierung der Malware-Verteilung – mit gebrandeten Domain-Namen, offiziell wirkenden Metadaten und legitimen Entwicklungs-Frameworks – zeigt, dass die Lücke zwischen einem echten Software-Update und einem bösartigen für den Durchschnittsnutzer immer schmaler wird.

de | boerse | 69157043 |