Cyberkriminelle nutzen gefälschte Utility-Downloads, um ScreenConnect zu installieren und Kryptowährungen zu minen.

Wer eine dieser Seiten besucht und auf den Download-Button klickt, erhält ein ZIP-Archiv, das sowohl die echte Software als auch eine versteckte bösartige Datei enthält. Analysten bei Microsoft haben diese Kampagne identifiziert und ihre Erkenntnisse Ende Mai 2026 veröffentlicht.

Microsoft Defender Experts und das Microsoft Defender Security Research Team gaben in einem Bericht, der mit Cyber Security News (CSN) geteilt wurde, bekannt, dass die Kampagne gezielt Nutzer anspricht, die wahrscheinlich leistungsstarke Grafikkarten besitzen, darunter Gamer, Hardware-Enthusiasten und KI-Entwickler.

Die Strategie ist durchdacht: weniger Geräte infizieren, aber aus jedem maximalen Mining-Ertrag herausholen. Besonders beunruhigend ist, dass die Kampagne nun auch über Antworten April 2026 stellten Forscher fest, dass Nutzer, die nach Software-Download-Empfehlungen fragten, direkt Angreifern kontrollierten Domänen erhielten.

Technischer Hintergrund

Dies markiert einen besorgniserregenden Wandel Suchmaschinen hin zu einem Bereich, den viele Nutzer als vertrauenswürdiger betrachten. Neben dem finanziellen Motiv des Kryptowährungs-Minings installieren die Angreifer ScreenConnect auf kompromittierten Systemen, um einen persistenten Fernzugriff aufrechtzuerhalten.

Dieser Angriff öffnet die Tür für deutlich schädlichere Nachfolgeaktivitäten, darunter Datendiebstahl, laterale Bewegung durch Unternehmensnetzwerke und sogar den Einsatz weiterhin aktiv, und ihr Ausmaß wächst kontinuierlich. Hacker missbrauchen gefälschte Utility-Downloads.

Die Infektion setzt ein, sobald ein Nutzer eine scheinbar legitime Utility-Installation herunterlädt und ausführt. Die ZIP-Datei enthält die echte Anwendung sowie eine bösartige Datei namens autorun.dll, die automatisch geladen wird, wenn das legitime Programm über eine Technik namens DLL-Sideloading gestartet wird.

Sicherheitslage und Risiko

Diese Methode erfordert keinen Software-Exploit und hinterlässt oft keine sichtbaren Spuren auf dem Bildschirm. Sobald autorun.dll ausgeführt wird, legt sie eine zweite bösartige Datei namens vcredist_x64.dll ab, die über den Windows Installer als gepackter ScreenConnect-Installer fungiert.

Nach der Installation infizierte Maschine mit einem vom Angreifer kontrollierten Server unter 193.42.11[.]108. Über diesen Remote-Zugriffskanal drücken die Angreifer eine ausführbare Datei namens SimpleRunPE.exe auf das System des Opfers.

Ab diesem Punkt übernimmt SimpleRunPE.exe die Hauptarbeit: Sie etabliert Persistenz mittels Registry-Run-Einträgen und geplanten Aufgaben, passt Ausnahmen für Sicherheitstools an, um unsichtbar zu bleiben, und nutzt Process Hollowing, um Mining-Code in eine vertrauenswürdige, ärdatei einzuspritzen.

Sicherheitslage und Risiko

Je nach Konfiguration können drei GPU-Miner bereitgestellt werden: gminer, lolMiner und SRBMiner-MULTI. Die Malware überwacht zudem Analyse-Tools wie den Windows-Aufgabenmanager, Process Hacker und Process Explorer. Sobald eines dieser Tools erkannt wird, unterbricht sie das Mining sofort, um Verdacht zu erregen.

Sobald diese Tools geschlossen sind, setzt das Mining im Hintergrund wieder stillschweigend ein. Dauerhafter Zugriff und Maßnahmen für Verteidiger Die Nutzung verwandelt jedes kompromittierte Gerät in einen langfristigen Ankerpunkt für die Angreifer.

Selbst wenn die Miningsoftware erkannt und entfernt wird, kann das ScreenConnect-Backdoor weiterhin aktiv sein und Angreifern einen Rückzugsweg bieten. Sicherheitsteams sollten aktiv nach unbefugten ScreenConnect-Sitzungen und Installationen suchen, die nicht.

Technischer Hintergrund

Microsoft empfiehlt, auf ungewöhnliche Anstiege der GPU-Auslastung an Desktops und Servern zu überwachen, da dies ein frühes Anzeichen für unbefugtes Mining sein kann. Die Korrelation Teams bei der Untersuchung, die Zusammenhänge schneller zu erkennen.

Benutzer sollten Software ausschließlich direkt Links, die, mit derselben Skepsis behandeln wie Suchergebnisse. Verteidiger sollten zudem Warnungen für Dateien wie SimpleRunPE.exe einrichten und nach DLLs mit den Namen autorun.dll oder vcredist_x64.dll in unerwarteten Verzeichnissen suchen.

Das Blockieren bekannter bösartiger Domains und die Überwachung des DNS-Verkehrs auf Subdomains [.]com können dazu beitragen, die Lieferinfrastruktur der Kampagne vor einem Download zu unterbrechen. Indikatoren für Kompromittierungen (IoCs): IP-Adresse: Indikator: 193.42.11[.]108; Beschreibung: Vom Angreifer kontrollierter ScreenConnect-C2-Server.

Einordnung fuer Autofahrer

Dateiname: Indikator: autorun.dll; Beschreibung: Böswillige DLL, die über ein legitimes Utility-Programm sideloading erfolgt. Dateiname: Indikator: vcredist_x64.dll; Beschreibung: Zweiteilige DLL; Bestandteil des ScreenConnect-Installers.

Dateiname: Indikator: SimpleRunPE.exe; Beschreibung: Dropper, der für Persistenz, Defender-Ausschlüsse und Prozess-Hollowing verantwortlich ist. Dateiname: Indikator: vlc.exe; Beschreibung: Getarntes Binärprogramm, das bei ausgewählten Infektionen eingesetzt wird (umbenannter Mining-Dropper).

Domain: Indikator: gleeze[.]com (Subdomains); Beschreibung: Kampagnenspezifische Hosting-Infrastruktur für böswillige ZIP-Archive (über Dynu-Dynamische DNS). Miner-Tool: Indikator: gminer; Beschreibung: GPU-Kryptowährungs-Miner, der als Endlast deployed wird.

Technik und Auswirkungen

Miner-Tool: Indikator: lolMiner; Beschreibung: GPU-Kryptowährungs-Miner, der als Endlast deployed wird. Hinweis: IP-Adressen und Domains wurden absichtlich „defanged" (z. B. [.] ) dargestellt, um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern.

Eine neue „Fangung" ist ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen. Tushar ist ein Senior-Berichterstattungsexperte für Cybersicherheit und Datenpannen.

Er spezialisiert sich auf die Berichterstattung über Nachrichten und Trends im Bereich Cybersicherheit sowie über neu auftretende Bedrohungen, Datenpannen und Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen ein. Windows-RDP-Schwachstellen ermöglichen Angreifern die Offenlegung sensibler Daten.

Die 0-Day-Schwachstelle im Windows Collaborative Translation Framework ermöglicht eine Privilegieneskalation. ServiceNow bestätigt eine Schwachstelle, die unbefugten Zugriff auf Kundentabellen in Instanzen ermöglicht.