FakeUpdates, Remcos und AgentTesla führen die Malware-Charts im Anstieg der Stealth-Angriffe an

Der Malware-Bericht von Check Point vom April 2025 enthüllt zunehmend raffinierte und versteckte Angriffe mit bekannter Malware wie FakeUpdates, Remcos und AgentTesla. Der Bildungssektor bleibt der am stärksten betroffene Sektor. Informieren Sie sich über die neuesten Cyber-Bedrohungen und wie Sie sich schützen können.

Check Point Research (CPR) hat seine Ergebnisse für April 2025 veröffentlicht. Sie beschreiben einen besorgniserregenden Trend: Angreifer nutzen immer komplexere und raffiniertere Methoden, um Schadsoftware zu verbreiten. Obwohl einige bekannte Malware-Familien weiterhin weit verbreitet sind, werden die Methoden zur Infektion von Systemen immer ausgefeilter, was ihre Erkennung erschwert.

Laut CPR handelte es sich bei den meisten im April entdeckten Angriffen um Phishing-E-Mails, die als Bestellbestätigungen getarnt waren. Diese E-Mails enthielten eine versteckte 7-Zip-Datei, die verschlüsselte Anweisungen freigab und so zur Installation gängiger Schadsoftware wie AgentTesla, Remcos und XLoader führte.

Die Angriffe waren besonders besorgniserregend, da sie gut versteckt waren. Sie verwendeten verschlüsselte Skripte und schleusten Schadsoftware in legitime Windows-Prozesse ein. Forscher stellten außerdem eine „gefährliche Konvergenz von Standardtools mit fortschrittlichen Taktiken von Bedrohungsakteuren“ fest. Dies bedeutet, dass selbst einfache Schadsoftware mittlerweile in hochentwickelten Operationen eingesetzt wird, heißt es im Blogbeitrag von CPR.

Trotz dieser neuen, hinterhältigen Methoden führten einige bekannte Namen im April immer noch die Liste der am weitesten verbreiteten Schadsoftware an, darunter die folgenden:

Diese Schadsoftware war nach wie vor am weitesten verbreitet und betraf weltweit 6 % der Unternehmen. Sie verleitet Nutzer dazu, gefälschte Browser-Updates von kompromittierten Websites zu installieren . Sie wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht und dient der Verbreitung weiterer Schadsoftware.

Dieses Remote-Access-Tool, das häufig über schädliche Dokumente in Phishing-E-Mails verbreitet wird , kann die Sicherheitsfunktionen von Windows umgehen und Angreifern so umfassende Kontrolle über infizierte Systeme verschaffen.

AgentTesla ist ein fortschrittliches Tool , das Tastatureingaben protokollieren, Passwörter stehlen, Screenshots erstellen und Anmeldedaten für verschiedene Anwendungen erfassen kann. Es wird frei im Internet verkauft.

Die Analyse der Malware-Familien ergab einen Anstieg der Nutzung von Androxgh0st, das auf Webanwendungen abzielt, um vertrauliche Informationen zu stehlen, während die Nutzung des Remote-Access-Tools AsyncRat zurückgegangen ist. Weitere namhafte Familien in den Top Ten sind Formbook , Lumma Stealer , Phorpiex, Amadey und Raspberry Robin .

Im April tauchte SatanLock als neue Ransomware-Gruppe auf und listete auf ihrer Datenleck-Website zahlreiche Opfer auf. Die meisten dieser Opfer waren jedoch bereits von anderen Gruppen beansprucht worden, was auf ein potenziell wettbewerbsorientiertes Umfeld innerhalb der Cybercrime-Community hindeutet. Akira war zudem die am weitesten verbreitete Ransomware-Gruppe, gefolgt von SatanLock und Qilin.

Mobilgeräte bleiben weiterhin ein wichtiges Ziel. Anubis , AhMyth und Hydra führten im April die Liste der mobilen Schadprogramme an. Besonders besorgniserregend ist, dass diese Schadprogramme immer raffinierter werden und Fernzugriff, Ransomware-Funktionen und das Abfangen von Multi-Faktor-Authentifizierung ermöglichen.

Darüber hinaus war der Bildungssektor den dritten Monat in Folge weltweit am anfälligsten, wahrscheinlich aufgrund seiner großen Nutzerbasis und der schwachen Cybersicherheitsinfrastruktur. Dicht dahinter folgten der öffentliche Sektor und der Telekommunikationssektor. Regionale Analysen zeigten unterschiedliche Malware-Trends: In Lateinamerika und Osteuropa kam es zu mehr FakeUpdates und Phorpiex, während in Asien eine erhöhte Aktivität von Remcos und AgentTesla zu beobachten war.

Angesichts dieser zunehmend komplexen und anhaltenden Cyber-Bedrohungslage empfiehlt CPR Unternehmen, eine Strategie zu verfolgen, bei der die Prävention an erster Stelle steht. Dazu gehören Schulungen der Mitarbeiter zum Thema Phishing, regelmäßige Software-Updates und die Implementierung fortschrittlicher Lösungen zur Bedrohungsprävention, um diese ausgeklügelten Angriffe zu erkennen und zu blockieren, bevor sie Schaden anrichten können.