{"id":70137,"date":"2026-04-03T06:40:10","date_gmt":"2026-04-03T06:40:10","guid":{"rendered":"https:\/\/www.europesays.com\/ch-de\/70137\/"},"modified":"2026-04-03T06:40:10","modified_gmt":"2026-04-03T06:40:10","slug":"neue-malware-welle-trifft-whatsapp-und-entwickler","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-de\/70137\/","title":{"rendered":"Neue Malware-Welle trifft WhatsApp und Entwickler"},"content":{"rendered":"<p>Zwei parallele Cyberangriffe bedrohen Windows-Systeme: Ein Fernzugriffstrojaner nutzt WhatsApp Desktop, w\u00e4hrend eine manipulierte JavaScript-Bibliothek Entwicklerprojekte infiziert. Microsoft reagiert mit versch\u00e4rften Kernel-Sicherheitsrichtlinien.<\/p>\n<p>Doppelangriff auf Windows-Nutzer: \u00dcber WhatsApp verbreitet sich eine raffinierte Fernzugriff-Software, w\u00e4hrend eine kompromittierte JavaScript-Bibliothek Millionen Entwickler-Projekte infiziert hat. Microsoft reagiert mit einer grundlegenden \u00c4nderung der Kernel-Sicherheit.<\/p>\n<p>Die erste Aprilwoche 2026 bringt eine neue Stufe der Cyber-Bedrohung f\u00fcr Windows-Systeme ans Licht. Sicherheitsforscher melden parallel laufende, hochsophistizierte Angriffskampagnen. Diese kombinieren Social Engineering \u00fcber beliebte Messenger mit einem massiven Supply-Chain-Angriff auf eine der meistgenutzten Entwickler-Bibliotheken. Hinter den Attacken stehen laut Microsoft und unabh\u00e4ngigen Cybersicherheitsfirmen ausgekl\u00fcgelte Strategien, bei denen Angreifer vertrauensw\u00fcrdige Anwendungen und legitime Systemwerkzeuge missbrauchen, um Sicherheitsbarrieren zu umgehen. Diese neuen Bedrohungen treffen zeitgleich auf eine grundlegende Versch\u00e4rfung der Windows-Kernel-Sicherheitsrichtlinien, die b\u00f6sartige Treiber aussperren soll.<\/p>\n<p>Anzeige<\/p>\n<p>Angesichts der neuen Welle von Fernzugriffs-Trojanern und manipulierten Systemwerkzeugen ist ein proaktiver Schutz Ihres Rechners wichtiger denn je. Der Gratis-Ratgeber der PC-Experten macht Ihren Rechner zur Festung gegen Viren und Hacker. <a href=\"https:\/\/viren-ticker.de\/anti-virus\/?af=KOOP_CW_VIT_DNV_YES_ANTI-VIRUS-PAKET_X-RSS-Ad-Hoc-News-AD1of2-EAID-816886\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schw\u00f6ren<\/a><\/p>\n<p>WhatsApp Desktop als Einfallstor f\u00fcr Fernzugriffs-Trojaner<\/p>\n<p>Am 2. April 2026 warnte das Microsoft Defender Security Research Team vor einer neuen Malware-Kampagne, die speziell Windows-Nutzer \u00fcber die WhatsApp Desktop-Anwendung angreift. Der Angriff beginnt mit einer Social-Engineering-Falle: Opfer erhalten eine Nachricht, die eine b\u00f6sartige Visual Basic Script (VBS)-Datei enth\u00e4lt. Die Nachrichten scheinen von vertrauten Kontakten zu stammen, doch das angeh\u00e4ngte Skript startet eine komplexe Infektionskette. Ihr Ziel: Angreifern vollen Fernzugriff auf das kompromittierte System zu verschaffen.<\/p>\n<p>Wird die VBS-Datei ausgef\u00fchrt, nutzt die Malware sogenannte Living-off-the-Land-Techniken (LOTL), um unentdeckt zu bleiben. Das Skript erstellt versteckte Verzeichnisse im System und legt umbenannte Versionen legitimer Windows-Utilities ab. So wird beispielsweise das Standard-Tool curl.exe in netapi.dll umbenannt und bitsadmin.exe in sc.exe. Indem sie diese vertrauensw\u00fcrdigen Bin\u00e4rdateien unter tr\u00fcgerischen Namen nutzen, k\u00f6nnen die Angreifer Netzwerkoperationen durchf\u00fchren und weitere Schadsoftware nachladen \u2013 ohne viele statische Virenscanner zu alarmieren.<\/p>\n<p>Die Kampagne l\u00e4dt sekund\u00e4re Payloads von seri\u00f6sen Cloud-Hosting-Diensten wie Amazon Web Services (AWS), Tencent Cloud und Backblaze B2 herunter. Diese Taktik l\u00e4sst den b\u00f6sartigen Datenverkehr mit legitimer Unternehmens-Cloud-Aktivit\u00e4t verschmelzen. In der finalen Infektionsphase werden b\u00f6sartige Microsoft Installer (MSI)-Pakete installiert, oft getarnt als g\u00e4ngige Software-Updates f\u00fcr WinRAR oder AnyDesk. Diese Installer richten eine permanente Hintert\u00fcr ein. Sie erm\u00f6glichen es den Angreifern, Berechtigungen zu eskalieren und die User Account Control (UAC)-Einstellungen zu \u00e4ndern, um die administrative Kontrolle \u00fcber den infizierten Rechner zu behalten.<\/p>\n<p>Nordkoreanische Hacker hinter Angriff auf Axios-Bibliothek<\/p>\n<p>Parallel zu den Messenger-basierten Bedrohungen ersch\u00fcttert ein schwerwiegender Supply-Chain-Angriff die Windows-Entwicklergemeinschaft. Am 31. M\u00e4rz 2026 identifizierten Sicherheitsanalysten b\u00f6sartige Versionen von Axios, einem weit verbreiteten JavaScript-HTTP-Client mit \u00fcber 100 Millionen w\u00f6chentlichen Downloads. Die Kompromittierung erfolgte, nachdem das npm-Konto eines f\u00fchrenden Maintainers \u00fcbernommen worden war. Die Angreifer konnten so die vergifteten Versionen 1.14.1 und 0.30.4 der Bibliothek ver\u00f6ffentlichen.<\/p>\n<p>Anzeige<\/p>\n<p>W\u00e4hrend Kriminelle immer raffiniertere Wege \u00fcber vertrauensw\u00fcrdige Software finden, bleiben viele Windows-Rechner durch unsichtbare Spionage-Programme gef\u00e4hrdet. Ein kostenloser Experten-Report zeigt, wie Sie sich in wenigen Schritten effektiv sch\u00fctzen. <a href=\"https:\/\/viren-ticker.de\/anti-virus\/?af=KOOP_CW_VIT_DNV_YES_ANTI-VIRUS-PAKET_X-RSS-Ad-Hoc-News-AD2of2-EAID-816886\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">Wie ausgesp\u00e4ht ist Ihr Windows-PC wirklich? Entdecken Sie die Antwort hier<\/a><\/p>\n<p>Microsoft Threat Intelligence schreibt diese Aktivit\u00e4t der nordkoreanischen, staatlich unterst\u00fctzten Gruppe Sapphire Sleet zu. Die b\u00f6sartigen Updates f\u00fchrten eine Phantom-Abh\u00e4ngigkeit ein, die bei der Installation einen Post-Install-Hook ausf\u00fchrt. Dieser Hook ist darauf ausgelegt, ein plattform\u00fcbergreifendes Remote Access Trojan (RAT) bereitstellen, das auf das Betriebssystem des Opfers zugeschnitten ist. Auf Windows-Rechnern f\u00fchrt das RAT eine umfangreiche Systemaufkl\u00e4rung durch und baut eine Verbindung zur Command-and-Control (C2)-Infrastruktur der Angreifer auf.<\/p>\n<p>Berichte von Trend Micro und Palo Alto Networks&#8216; Unit 42 zeigen, dass die Malware ausgekl\u00fcgelte Anti-Forensik-F\u00e4higkeiten besitzt. Nach erfolgreicher Etablierung der Persistenz sind die sch\u00e4dlichen Komponenten darauf programmiert, sich selbst zu zerst\u00f6ren. Sie ersetzen sich durch saubere K\u00f6derdateien, um Spuren des initialen Einbruchs zu verwischen. Angesichts der Popularit\u00e4t von Axios in der modernen Webentwicklung ist das potenzielle Ausma\u00df der Sch\u00e4den enorm. Es betrifft Organisationen in den Bereichen Finanzen, Technologie und Regierung. Sicherheitsteams raten Entwicklern derzeit, auf die verifizierten Versionen 1.14.0 oder 0.30.3 zur\u00fcckzustufen und alle Geheimnisse oder Zugangsdaten zu wechseln, die w\u00e4hrend der Kompromittierung m\u00f6glicherweise offengelegt wurden.<\/p>\n<p>Microsoft versch\u00e4rft Richtlinien f\u00fcr Kernel-Treiber<\/p>\n<p>Als Reaktion auf die anhaltende Bedrohung durch Kernel-Level-Exploits hat Microsoft f\u00fcr April 2026 eine neue Sicherheitsrichtlinie eingef\u00fchrt. Sie \u00e4ndert grundlegend, wie Windows 11 mit Treibern von Drittanbietern umgeht. Das Update behebt eine langj\u00e4hrige Schwachstelle im &#171;Cross-Signed Root Program&#187;. Dieses veraltete System erlaubte es, dass Treiber von externen Autorit\u00e4ten mit begrenzter Sicherheitsaufsicht zertifiziert wurden. Jahrelang nutzten Bedrohungsakteure dieses System, indem sie gestohlene Signaturschl\u00fcssel oder manipulierte Treiber verwendeten, um b\u00f6sartigen Code direkt in den Windows-Kernel zu injizieren.<\/p>\n<p>Gem\u00e4\u00df der neuen Richtlinie vertraut Windows 11 standardm\u00e4\u00dfig nur noch Treibern, die durch das offizielle Windows Hardware Compatibility Program (WHCP) zertifiziert wurden. Diese Verschiebung stellt sicher, dass jeder Treiber strenge Malware-Scans und Kompatibilit\u00e4tstests bei Microsoft durchl\u00e4uft, bevor er in den sensibelsten Teil des Betriebssystems geladen werden darf. Um St\u00f6rungen f\u00fcr legitime Nutzer zu minimieren, f\u00fchrt Microsoft diese \u00c4nderung mit einer 100-st\u00fcndigen Evaluierungsphase f\u00fcr bestehende Systeme ein. In dieser Zeit pr\u00fcft der Kernel die Treiberkompatibilit\u00e4t, bevor die strengere Durchsetzung dauerhaft wird.<\/p>\n<p>Dieser Schritt ist Teil einer breiteren Anstrengung, &#171;Bring Your Own Vulnerable Driver&#187; (BYOVD)-Angriffe zu neutralisieren. Diese sind zu einem Markenzeichen fortgeschrittener, andauernder Bedrohungsgruppen (APT) geworden. Indem Microsoft den Pfad f\u00fcr die Ausf\u00fchrung auf Kernel-Ebene verengt, will das Unternehmen die Kosten und die Komplexit\u00e4t f\u00fcr Angreifer deutlich erh\u00f6hen, die das h\u00f6chste Ma\u00df an Systemprivilegien erlangen wollen. Analysten gehen davon aus, dass dies zwar nicht alle Malware stoppen wird, aber einen der gef\u00e4hrlichsten Wege f\u00fcr persistente, unentdeckbare Infektionen effektiv schlie\u00dft.<\/p>\n<p>Die Zukunft: Fileless-Angriffe und KI-Obfuskation<\/p>\n<p>Das Zusammentreffen dieser Malware-Kampagnen unterstreicht einen bedeutenden Wandel in der Cyber-Bedrohungslandschaft f\u00fcr 2026. Angreifer bewegen sich zunehmend von traditioneller dateibasierter Malware weg hin zu fileless Operationen und dem Missbrauch legitimer Systemkomponenten. Die von ReliaQuest-Forschern Ende M\u00e4rz identifizierte &#171;DeepLoad&#187;-Kampagne verdeutlicht diesen Trend weiter. Sie nutzt KI-gest\u00fctzte Verschleierung und die &#171;ClickFix&#187;-Technik. Diese Methode trickst Nutzer aus, b\u00f6sartige PowerShell-Befehle auszuf\u00fchren, die wie legitime Systemreparaturen aussehen. So kann die Malware Persistenz etablieren, ohne jemals eine traditionelle ausf\u00fchrbare Datei auf der Festplatte zu speichern.<\/p>\n<p>Der Einsatz von KI zur Erzeugung polymorphen Codes und die gezielten Angriffe auf die Software-Lieferkette zeigen: Organisationen k\u00f6nnen sich nicht l\u00e4nger allein auf signaturbasierte Verteidigung verlassen. Experten weisen darauf hin, dass Verhaltensanalyse und identit\u00e4tszentrierte Sicherheit die prim\u00e4ren Schlachtfelder f\u00fcr die Windows-Sicherheit der Zukunft sein werden. Da Angreifer weiterhin das inh\u00e4rente Vertrauen in Plattformen wie WhatsApp und das npm-\u00d6kosystem ausnutzen, verlagert sich die Sicherheitslast hin zur kontinuierlichen \u00dcberwachung von Systemprozessen und der Implementierung von Zero-Trust-Architekturen.<\/p>\n<p>In Zukunft rechnet die Cybersicherheits-Community mit einer zunehmenden Verbreitung von Hotpatching und automatisierten Sicherheitsupdates. Ab Mai 2026 soll Windows Autopatch Hotpatching standardm\u00e4\u00dfig f\u00fcr berechtigte Ger\u00e4te aktivieren. Dies bietet einen schnelleren Weg, kritische Schwachstellen zu beheben, ohne einen Systemneustart zu erfordern. Dieser proaktive Ansatz, kombiniert mit den neuen Kernel-Schutzma\u00dfnahmen, stellt einen gro\u00dfen Schritt hin zu einem widerstandsf\u00e4higeren Windows-\u00d6kosystem dar. Der Erfolg dieser Ma\u00dfnahmen wird jedoch davon abh\u00e4ngen, ob Organisationen die \u00dcbersicht \u00fcber ihre zunehmend komplexen Software-Abh\u00e4ngigkeiten behalten und Nutzer kontinuierlich gegen raffinierte Social-Engineering-Taktiken schulen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"Zwei parallele Cyberangriffe bedrohen Windows-Systeme: Ein Fernzugriffstrojaner nutzt WhatsApp Desktop, w\u00e4hrend eine manipulierte JavaScript-Bibliothek Entwicklerprojekte infiziert. Microsoft reagiert&hellip;\n","protected":false},"author":2,"featured_media":70138,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[46,5486,6619,953,19755,19753,19754,14677,45,60,59,44,64,61,1884,19751,19752,63,62],"class_list":{"0":"post-70137","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-ch","9":"tag-cyberangriffe","10":"tag-desktop","11":"tag-entwickler","12":"tag-entwicklerprojekte","13":"tag-fernzugriffstrojaner","14":"tag-javascript-bibliothek","15":"tag-malware-welle","16":"tag-schweiz","17":"tag-science","18":"tag-science-technology","19":"tag-switzerland","20":"tag-technik","21":"tag-technology","22":"tag-whatsapp","23":"tag-windows-sicherheit","24":"tag-windows-systeme","25":"tag-wissenschaft","26":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@ch_de\/116339403066692391","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/70137","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/comments?post=70137"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/70137\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media\/70138"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media?parent=70137"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/categories?post=70137"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/tags?post=70137"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}