ScreenConnect-Malware, Domain-Netzwerk

ScreenConnect-Malware: 90 Domain-Netzwerk verbreitet AsyncRAT

Veröffentlicht: 01.07.2026 um 16:46 Uhr, Redaktion boerse-global.de

Kaspersky deckt Infektionswelle auf: Hacker nutzen ScreenConnect und gefÀlschte Freeware-Seiten zur Verbreitung des AsyncRAT-Trojaners.

ScreenConnect-Missbrauch: AsyncRAT-Kampagne entdeckt
Eine digitale Hand reicht aus einem leuchtenden Bildschirm zu einer menschlichen Hand, umgeben von BinĂ€rcode, symbolisiert Cyber-Bedrohungen aus der Ferne. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Sicherheitsforscher haben eine großflĂ€chige Infektionskampagne aufgedeckt, die das Fernwartungstool ScreenConnect fĂŒr die Verbreitung des AsyncRAT-Trojaners missbraucht.

Laut einem Bericht von Kaspersky vom 1. Juli 2026 nutzt die Operation ein Netzwerk von ĂŒber 90 schĂ€dlichen Domains in zehn Sprachen. Die Angreifer locken Nutzer mit gefĂ€lschten Download-Seiten fĂŒr beliebte Freeware in die Falle.

GefÀlschte Software-Seiten als Einfallstor

Die TĂ€ter setzen gezielt Suchmaschinenoptimierung (SEO) ein, damit ihre betrĂŒgerischen Webseiten ganz oben in den Suchergebnissen erscheinen. Die Plattformen imitieren die offiziellen Seiten populĂ€rer Gratis-Programme wie OBS Studio, DNS Jumper, DS4Windows, Glary Utilities und Bandicam.

Der Infektionsprozess beginnt, sobald ein Nutzer ein schĂ€dliches Archiv herunterlĂ€dt. Dieses enthĂ€lt eine legitime Installationsdatei – und eine manipulierte Bibliotheksdatei namens install.res.1033.dll. Die Angreifer nutzen eine Technik namens DLL-Sideloading, um den Schadcode auszufĂŒhren. Anschließend installiert sich eine Version von ScreenConnect auf dem Rechner.

Sobald ScreenConnect aktiv ist, setzen die Hacker PowerShell- und VBS-Skripte ein. Ihr Ziel: Windows Defender und die Benutzerkontensteuerung (UAC) deaktivieren. Im letzten Schritt laden sie AsyncRAT mittels Process Hollowing in den Arbeitsspeicher. Das Trojaner-Pferd baut dann eine Verbindung zu einem Kommando-Server auf.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklĂ€ren im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spĂ€t ist. Experten-Leitfaden zur Cyber-Security kostenlos herunterladen

Die Kaspersky-Experten stellten fest, dass die Domain-Registrierungen fĂŒr diese Kampagne im Februar 2026 ihren Höhepunkt erreichten. Zudem lassen sich Parallelen zu einem Angreifer ziehen, der bereits 2025 mit Ă€hnlichen Methoden ĂŒber gefĂ€lschte Spiel-Installer operierte.

Angriffswelle auf Fernwartungssoftware

Der Missbrauch von ScreenConnect reiht sich in einen besorgniserregenden Trend ein: Immer mehr Kriminelle zielen auf Remote Monitoring und Management (RMM) -Software ab. Erst am 29. Juni 2026 hatte die US-Cybersicherheitsbehörde CISA eine kritische LĂŒcke im SimpleHelp-RMM-Tool in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Die Schwachstelle CVE-2026-48558 hat den maximalen CVSS-Score von 10.0. Sie erlaubt es Angreifern, die Mehrfaktor-Authentifizierung zu umgehen, indem sie gefÀlschte OpenID-Connect-Token erstellen. Sicherheitsanalysten von Horizon3.ai, die das Leck entdeckten, berichten, dass der Exploit Angreifern Techniker-Zugriff auf entfernte Systeme verschafft.

In den letzten Wochen beobachteten Sicherheitsfirmen, wie diese LĂŒcke genutzt wurde, um den TaskWeaver-Loader und den Djinn Stealer zu verbreiten. Djinn Stealer ist eine plattformĂŒbergreifende Schadsoftware, die Cloud-Zugangsdaten, Quellcode, SSH-SchlĂŒssel und Daten von KryptowĂ€hrungs-Wallets stiehlt. SimpleHelp hatte zwar Ende Mai Patches veröffentlicht, doch Branchendaten zufolge waren Ende Juni noch rund 7,2 Prozent der exponierten SimpleHelp-Server verwundbar.

Neue Gefahren fĂŒr Unternehmen und Kanzleien

Neben diesen Kampagnen sind weitere RMM-bezogene Bedrohungen aufgetaucht. Die Gruppe Luna Moth, auch als Silent Ransom Group bekannt, hat sich auf die Anwaltsbranche spezialisiert. Über 40 Prozent ihrer Opfer zwischen April 2024 und April 2025 stammten aus diesem Sektor.

Anzeige

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klĂ€rt auf. Der Umsetzungsleitfaden zum EU AI Act liefert Ihrer Rechts- und IT-Abteilung jetzt die nötige Klarheit zu Risikoklassen und Pflichten. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Luna Moth verschlĂŒsselt in der Regel keine Daten, sondern setzt auf Datendiebstahl und Erpressung. Die Gruppe verschafft sich oft Zugang durch Callback-Phishing – sie gibt sich als IT-Helpdesk aus. Anschließend nutzen die Erpresser legitime Tools wie Zoho Assist and AnyDesk, um die Kontrolle ĂŒber die Netzwerke ihrer Opfer zu behalten. In einigen FĂ€llen zahlten Unternehmen Berichten zufolge Lösegelder zwischen 18 und 20 Millionen Euro, um die Veröffentlichung gestohlener Daten zu verhindern.

Ein weiterer alarmierender Trend: Kaspersky-Meldungen aus dem ersten Halbjahr 2026 zeigen einen starken Anstieg von Malware, die sich als KĂŒnstliche Intelligenz tarnt. Zwischen Januar und April 2026 wurden ĂŒber 33.300 Angriffe auf kleine und mittelstĂ€ndische Unternehmen registriert, bei denen Schadsoftware als ChatGPT, Claude oder DeepSeek getarnt war. Diese Erkenntnisse kommen zu einer Zeit, in der 43 Prozent der von Kaspersky befragten Unternehmen glauben, dass Angreifer KI zunehmend fĂŒr automatisierte Phishing-Angriffe und die Entwicklung hochentwickelter Malware einsetzen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69668337 |