JDownloader-Hack: Angreifer verteilten Schadsoftware über offizielle Website

Kriminelle haben die Download-Infrastruktur des beliebten Download-Managers JDownloader gekapert und Schadsoftware an ahnungslose Nutzer ausgeliefert.

Zwischen dem 6. und 7. Mai 2026 nutzten unbekannte Angreifer eine Sicherheitslücke im Content-Management-System der JDownloader-Website. Ihr Ziel: die offiziellen Installationsdateien durch Remote Access Trojans (RATs) und schädliche Skripte zu ersetzen. Betroffen waren der Windows-Alternative-Installer sowie das Linux-Shell-Installationspaket.

Der Vorfall reiht sich ein in eine wachsende Zahl sogenannter „Watering-Hole“-Angriffe, bei denen vertrauenswürdige Softwarequellen kompromittiert werden, um eine breite Nutzerbasis zu infizieren.

Der aktuelle Vorfall zeigt, wie schnell herkömmliche Schutzmaßnahmen an ihre Grenzen stoßen und Computer zur Zielscheibe für Spionage werden. Mit diesem kostenlosen Sicherheitspaket von Computerwissen machen Sie Ihren Rechner zur Festung gegen Viren und Hacker. Gratis Anti-Virus-Paket jetzt herunterladen

So lief der Angriff ab

Die Täter manipulierten das Backend der JDownloader-Website und tauschten die legitimen Binärdateien gegen infizierte Versionen aus. Der Windows-Schadcode entpuppte sich als Python-basierter RAT, der den Angreifern die vollständige Kontrolle über das infizierte System ermöglicht – inklusive Zugriff auf Dateien, Überwachung der Nutzeraktivität und Installation weiterer Schadsoftware. Die Linux-Variante enthielt ein bösartiges Shell-Skript, das ebenfalls die Kontrolle über das Zielsystem übernehmen sollte.

Sicherheitsforscher identifizierten mehrere Kompromittierungs-Indikatoren (IOCs). Die Malware kommunizierte mit Command-and-Control-Servern (C2) unter den Domains parkspringshotel[.]com und auraguest[.]lk, über die die Angreifer die infizierten Rechner steuerten und gestohlene Daten abgriffen.

Dringende Handlungsempfehlung für betroffene Nutzer

Wer zwischen dem 6. und 7. Mai die genannten Installationspakete heruntergeladen hat, sollte umgehend handeln. Experten raten zu einer kompletten Neuinstallation des Betriebssystems und dem Zurücksetzen sämtlicher Passwörter. Nur so lasse sich das Risiko eines dauerhaften Zugriffs durch die Angreifer ausschließen.

CloudZ RAT: Wenn die Telefon-Funktion zur Falle wird

Parallel zum JDownloader-Vorfall macht ein weiterer Schädling Schlagzeilen: der CloudZ RAT, der seit Januar 2026 aktiv ist. Seine besondere Tücke: Er missbraucht die Microsoft-Phone-Link-Funktion unter Windows, um vertrauliche Daten abzugreifen.

Über ein Plugin namens „Pheno“ überwacht die Malware aktive Phone-Link-Prozesse und extrahiert Daten direkt aus lokalen SQLite-Datenbanken. So gelangen die Angreifer an SMS-Nachrichten, Anruflisten und vor allem Einmalpasswörter (OTPs) für die Zwei-Faktor-Authentifizierung (2FA). Besonders perfide: Das physische Telefon des Opfers muss dafür gar nicht infiziert sein.

Der Angriff beginnt meist mit einer täuschend echten Aufforderung zu einem ScreenConnect-Update, das dann einen .NET-Lader installiert, der letztlich den RAT ausliefert. Die Fähigkeit, 2FA-Codes in Echtzeit abzufangen, stellt eine ernste Bedrohung für Unternehmens- und Privatkonten dar.

Quishing: Der QR-Code als Einfallstor

Auch die Phishing-Methoden werden raffinierter. Im März 2026 verzeichneten Sicherheitsexperten einen Anstieg von QR-Code-Phishing („Quishing“) um 146 Prozent – auf 18,7 Millionen gemeldete Fälle allein in diesem Monat. Die Angreifer verschicken physische Briefe oder digitale Nachrichten mit gefälschten QR-Codes, die auf manipulierte Login-Seiten oder Malware-Download-Seiten führen.

Mitte April deckte Microsoft eine großangelegte Phishing-Kampagne auf, die 35.000 Nutzer in 26 Ländern ins Visier nahm. Rund 92 Prozent der Ziele saßen in den USA, Schwerpunkt waren Gesundheitswesen und Finanzbranche. Die Täter nutzten „Adversary-in-the-Middle“-Techniken (AiTM), um selbst 2FA zu umgehen.

Industrie und Finanzsektor unter Beschuss

Die Kampagne „SilverFox“ verschickte 1.600 schädliche E-Mails an Unternehmen aus Fertigung und Infrastruktur. In der Schweiz traf es den Business-Software-Anbieter Bexio: Nach einer gezielten Phishing-Welle am 9. und 10. Mai zwang das Unternehmen alle 100.000 Kunden zur Einführung der Zwei-Faktor-Authentifizierung. Die Angreifer hatten versucht, IBAN-Daten zu manipulieren.

Der Banking-Trojaner TCLBANKER (auch REF3076) konzentriert sich auf den lateinamerikanischen Finanzmarkt. Er verbreitet sich über kompromittierte Outlook- und WhatsApp-Konten, getarnt als legitime MSI-Installationspakete für produktivitätstools. Mit DLL-Side-Loading und Anti-Analyse-Techniken greift er rund 59 Banken, Fintechs und Kryptoplattformen in Brasilien an.

Das Ende der Passwort-Ära

Die anhaltende Schwäche traditioneller Passwörter zwingt die Branche zum Umdenken. Microsoft hat Passkeys zum Standard für neue Konten gemacht – ein System, das auf gerätespezifischer Verifizierung per Biometrie oder PIN basiert. Laut FIDO Alliance sind weltweit bereits rund 5 Milliarden Passkeys im Einsatz.

Zum World Password Day am 7. Mai 2026 war der Tenor der Experten eindeutig: Die Ära des klassischen Passworts neigt sich dem Ende zu. Microsoft kündigte an, Sicherheitsfragen in Microsoft Entra ID bis Januar 2027 komplett abzuschaffen. Windows 11 unterstützt inzwischen auch Passkeys von Drittanbietern.

Angesichts von Millionen gehackter Konten pro Quartal ist der Wechsel auf modernere Sicherheitsstandards wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie bei Diensten wie Amazon oder WhatsApp sofort einrichten und Hackern keine Chance mehr lassen. Kostenlosen Passkey-Ratgeber jetzt anfordern

Google wiederum führt mit „Advanced Flow“ für Android eine Hürde gegen das Side-Loading nicht verifizierter Apps ein: Eine 24-stündige Wartezeit und biometrische Bestätigung sollen die Installation unsicherer Anwendungen erschweren. Hintergrund sind weltweite Betrugsschäden von schätzungsweise 442 Milliarden US-Dollar im Jahr 2025.

Konsequenzen für Unternehmen

Der JDownloader-Vorfall zeigt: Auch etablierte Software-Werkzeuge können zu Einfallstoren werden. Für Unternehmen bedeutet das: Prüfung von Installationsdateien über Prüfsummen und lückenloses Endpunkt-Monitoring sind Pflicht. Da RATs wie CloudZ und TCLBANKER zunehmend Windows-Funktionen kapern und 2FA umgehen, reicht die reine Passwort-Sicherung nicht mehr aus.

Ein Urteil des Berliner Landgerichts vom 22. April 2026 könnte die Sicherheitsstandards weiter verschärfen: Die Richter sprachen einem Kunden 200.000 Euro Schadensersatz zu, nachdem eine Bank trotz eines hochkomplexen Phishing-Angriffs – mit Briefen, Anrufen und 2FA-Abfragen – keine grobe Fahrlässigkeit des Kunden erkennen konnte. Banken müssen ihre Sicherheitsalgorithmen nun nachschärfen.

In den kommenden Monaten werden Unternehmen verstärkt auf hardwaregestützte Passkeys und strengere Kontrollen in der Software-Lieferkette setzen müssen. Die Bedrohung durch KI-gestütztes Phishing – mit Klickraten von bis zu 54 Prozent – zeigt: Der Kampf um die digitale Identität ist längst zur Daueraufgabe geworden.

de | wissenschaft | 69301304 |