Windows-Nutzer: Cyber-Kriminelle setzen auf perfekte Täuschung
Aktuelle Malware-Kampagnen nutzen gefälschte Updates und Hardware-Checks, um Sicherheitsmaßnahmen zu umgehen. Angriffe mit PowerShell-Missbrauch stiegen um 517 Prozent an.
Eine neue Generation hochentwickelter Cyberangriffe nimmt Windows-Nutzer weltweit ins Visier. Die Angreifer nutzen gefälschte Fehlermeldungen, vorgetäuschte Browser-Updates und manipulierte Werbung, um ihre Schadsoftware zu verbreiten. Was diese Kampagnen besonders gefährlich macht: Sie überwinden klassische Sicherheitsmaßnahmen durch raffinierteste Täuschungsmanöver.
Die aktuellen Angriffe gehen weit über simple Phishing-E-Mails hinaus. Stattdessen erschaffen die Cyber-Kriminellen täuschend echte Szenarien, die Nutzer dazu verleiten, ihre eigenen Systeme zu kompromittieren. Durch das Kapern vertrauenswürdiger Plattformen und neuartige Verschleierungstechniken installieren sie erfolgreich Malware – von Datendiebstahl-Tools bis hin zu Remote-Access-Trojanern, die dauerhafte Kontrolle über infizierte Rechner ermöglichen.
„GPUGate“: Wenn die Grafikkarte zum Schlüssel wird
Besonders raffiniert zeigt sich eine Kampagne namens „GPUGate“, die seit dem 19. August 2025 IT-Profis in Westeuropa attackiert. Die Angreifer schalten bezahlte Google-Anzeigen und geben sich als legitime Software wie GitHub Desktop aus. Laut dem Cybersecurity-Unternehmen Arctic Wolf führen diese Fake-Ads zu einer manipulierten GitHub-Seite, die täuschend echt wirkt – komplett mit echten Repository-Metadaten.
Der Clou dieser Kampagne liegt in ihrer innovativen Verschleierungstechnik. Die Malware kommt als aufgeblähter 128-Megabyte-Installer daher, der allein durch seine Größe die meisten Sicherheits-Sandboxes umgeht. Das Besondere: Die Software prüft die Hardware des Opfers und nutzt die Grafikkarte zur Generierung eines Entschlüsselungsschlüssels.
Systeme ohne ordentliche Grafikkarte oder mit generischen Gerätenamen – wie sie in virtuellen Maschinen von Sicherheitsforschern üblich sind – werden ignoriert. Die Malware beendet in solchen Fällen einfach ihre Ausführung. Diese „Hardware-Kontrolle“ sorgt dafür, dass die Schadsoftware nur auf echten Nutzersystemen aktiv wird.
PowerShell-Missbrauch explodiert: 517 Prozent mehr Angriffe
Alarmierend entwickelt sich auch der Trend zu gefälschten Fehlermeldungen, die Nutzer zur Ausführung bösartiger PowerShell-Skripte verleiten. Die als „ClickFix“ bekannte Angriffsmethode verzeichnete seit der zweiten Jahreshälfte 2024 einen Anstieg um 517 Prozent – und rangiert damit bereits auf Platz zwei der meist genutzten Angriffsvektoren nach klassischem Phishing.
Der Ablauf folgt einem perfiden Schema: Eine Phishing-E-Mail führt zu einer Website mit gefälschtem reCAPTCHA oder einer Fake-Fehlermeldung. Den Nutzern werden dann simple Anweisungen präsentiert, einige Codezeilen in die Windows-PowerShell zu kopieren, um den vermeintlichen „Fehler zu beheben“.
Da viele Nutzer PowerShells Möglichkeiten nicht kennen, befolgen sie die Anweisungen – und führen unwissentlich Befehle aus, die Malware herunterladen und installieren. Besonders tückisch: Das direkte Ausführen von Befehlen in PowerShell umgeht teilweise Antivirus-Programme, die hauptsächlich auf verdächtige ausführbare Dateien scannen. Diese Kampagnen verbreiten Info-Stealer wie Lumma, Vidar und StealC.
Legitime Remote-Tools als trojanisches Pferd
Eine gemeinsame Studie von Red Canary und Zscaler vom 12. September 2025 deckte Kampagnen auf, die gefälschte Browser-Update-Aufforderungen nutzen, um legitime Remote-Monitoring-Software zu installieren. Die Angreifer locken mit Phishing-Ködern – darunter gefälschte Meeting- und Party-Einladungen – auf Seiten, die ein dringendes Browser-Update vorgaukeln.
Statt eines Updates lädt der Nutzer einen Installer für RMM-Software wie ITarian oder Atera herunter. Das Problem: Da es sich um legitime Software handelt, die IT-Profis für Fernwartung verwenden, schlagen Sicherheitsprogramme selten Alarm. Einmal installiert, verschaffen diese Tools den Angreifern dauerhaften Systemzugang – für Datendiebstahl, Netzwerk-Infiltration oder Ransomware-Attacken.
Anzeige: Wenn Angriffe mit Fake-Updates oder RMM-Tools den PC unbenutzbar machen, zählt ein sauberer Neustart von externer USB?Umgebung. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows?11?Boot?Stick erstellen zur Reparatur, Neuinstallation und als Notfall-Helfer, auch für Einsteiger geeignet. So sind Sie im Ernstfall in Minuten wieder handlungsfähig, ganz ohne teuren Service. Jetzt kostenlosen Ratgeber Windows 11 Boot?Stick erstellen sichern
Vertrauen wird zur Schwachstelle
Der aktuelle Anstieg dieser Kampagnen zeigt einen strategischen Wandel: Cyber-Kriminelle nutzen gezielt die Sicherheitsratschläge aus, die Nutzern jahrelang gegeben wurden. Vertraue bekannten Websites, misstraue unerwarteten E-Mail-Anhängen – diese Regeln hebeln die neuen Angriffe geschickt aus.
Die Angreifer kompromittieren echte Websites oder erstellen hochwertige Fälschungen vertrauenswürdiger Marken wie Microsoft und Google. Gefälschte Browser-Update-Aufforderungen werden sogar auf den spezifischen Browser des Opfers zugeschnitten – für maximale Glaubwürdigkeit.
Die Wirksamkeit liegt in der Dringlichkeit: Eine Fake-Fehlermeldung über fehlende Systemdateien oder die Aufforderung zur Installation eines „kritischen Sicherheitsupdates“ versetzt Nutzer in Panik. Sie handeln unüberlegt, weil ihnen Problem und „Lösung“ in einem überzeugenden Paket präsentiert werden.
Ausblick: KI macht Angriffe noch raffinierter
Sicherheitsexperten erwarten eine weitere Professionalisierung dieser Angriffsmethoden. Künstliche Intelligenz könnte künftig noch überzeugendere und personalisierte Köder generieren. Der Erfolg von Kampagnen wie GPUGate und ClickFix wird wahrscheinlich Nachahmer inspirieren.
Die Gegenmaßnahmen müssen sich anpassen: Unternehmen brauchen mehr als Basis-Sicherheitstrainings. Digital-Kompetenz wird entscheidend – Nutzer müssen lernen, auch bei vermeintlich vertrauenswürdigen Quellen skeptisch zu bleiben. Technische Verteidigungen erfordern Endpoint Detection and Response (EDR)-Lösungen, die Systemverhalten und PowerShell-Befehle überwachen. Verwaltete Browser-Update-Richtlinien können Mitarbeiter vor Fake-Updates schützen.
Anzeige: Übrigens: Genervt von Windows-Fehlermeldungen und Sicherheitsärger? Mit dem kostenlosen Linux-Startpaket testen Sie Ubuntu parallel zu Windows risikofrei, ohne Datenverlust und inklusive Schritt-für-Schritt-Anleitung. Mehr Tempo, Stabilität und weniger Viren-Ärger auf älteren wie neuen PCs. Jetzt Linux-Startpaket gratis anfordern
