Top Malware April 2025
Bildung im Visier: FakeUpdates & Co führen Malware-Ranking im April an
Komplexe Angriffe im Aufschwung
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), weltweit führender Anbieter von Cybersecurity-Lösungen, veröffentlicht den Global Threat Index für April 2025 . Die Daten zeigen: FakeUpdates bleibt die am weitesten verbreitete Malware weltweit (6 %), gefolgt von Remcos und AgentTesla. In Deutschland dominiert ebenfalls FakeUpdates (3,35 %), dicht gefolgt von Remcos (2,69 %) und Androxgh0st (2,43 %).
Check Point Threat Index April 2025: Bildungssektor bleibt meistangegriffener Bereich – raffinierte Malware-Kampagnen nutzen legitime Prozesse zur Tarnung
Neue Angriffsformen setzen auf Tarnung durch legitime Prozesse
Sicherheitsforscher von Check Point haben eine komplexe, mehrstufige Malware-Kampagne identifiziert, bei der bekannte Schadprogramme wie AgentTesla, Remcos und Xloader (ein FormBook-Nachfolger) zum Einsatz kommen. Die Infektion beginnt mit Phishing-Mails, die als Bestellbestätigung getarnt sind und ein 7-Zip-Archiv mit verschlüsseltem JScript (.JSE) enthalten. Dieses startet ein verschlüsseltes PowerShell-Skript, das schließlich eine zweite Stufe mit .NET- oder AutoIt-Malware ausführt. Die finale Schadsoftware tarnt sich durch das Einhängen in legitime Windows-Prozesse wie RegAsm.exe oder RegSvcs.exe, um Erkennungssysteme gezielt zu umgehen.
„Die Angriffe kombinieren Standard-Malware mit hochentwickelten Taktiken“, erklärt Lotem Finkelstein, Director of Threat Intelligence bei Check Point. „Durch verschachtelte Skripte, legitime Systemprozesse und verschleierte Ausführungsketten wird einfache Malware zu einem Teil professioneller Angriffsoperationen. Der Schutzbedarf steigt entsprechend – besonders durch KI-gestützte, präventive Sicherheitsstrategien.“
Globale Entwicklung: Kommerzielle Malware wird Teil professioneller APT-Kampagnen
Die Verschmelzung von frei verfügbarer Malware mit fortgeschrittener Angriffstechnik zeigt einen Wandel: Tools wie AgentTesla und Remcos, früher günstig über Cybercrime-Foren zu beziehen, sind heute Bestandteil komplexer Kampagnen, die Taktiken staatlicher Akteure imitieren – und so die Trennlinie zwischen finanziell und geopolitisch motivierten Angriffen zunehmend verwischen.
Malware-Ranking Deutschland – April 2025:
↔ FakeUpdates (3,35 %) FakeUpdates (SocGholish) ist ein Downloader, der über kompromittierte Websites als vermeintliches Browser-Update angeboten wird. Er wird der russischen Gruppe Evil Corp zugeordnet. ↑ Remcos (2,69 %) Ein Remote-Access-Trojaner (RAT), der Malware mit erweiterten Rechten ausführt und Sicherheitsmechanismen wie UAC umgeht. Häufig über Phishing-Dokumente verbreitet. ↓ Androxgh0st (2,43 %) Diese Python-basierte Malware zielt auf Laravel-Anwendungen und stiehlt Zugangsdaten aus offenen .env-Dateien. Ziel sind vor allem Cloud-Zugänge wie AWS, Office 365 und SendGrid.
Meistangegriffene Branchen in Deutschland:
- ↔ Bildung: Unverändert an der Spitze
- ↑ Biotechnologie/Pharmazie: steigt auf Platz 2
- ↓ Telekommunikation: fällt auf Platz 3
Mobile Malware – Top 3 weltweit:
- ↔ Anubis – Ein Android-Banking-Trojaner mit RAT-Funktionen, Ransomware-Modulen und OTP-Abgriff.
- ↑ AhMyth – Tarnt sich als legitime App, sammelt umfangreiche persönliche Daten.
- ↑ Hydra – Erzwingt schädliche Berechtigungen beim Start von Banking-Apps.
Ransomware-Gruppen – Aktivitätsranking April 2025:
- Akira (11 %) – Zielt auf Windows & Linux, nutzt Chacha 2008 zur Verschlüsselung und wird über E-Mail-Anhänge oder VPN-Exploits verteilt.
- SatanLock (10 %) – Neue Gruppe, seit April aktiv, zahlreiche Wiederholungstaten.
- Qilin (10 %) – Bekannt für gezielte Angriffe auf Bildungs- und Gesundheitssektor, operiert im Ransomware-as-a-Service-Modell.