LokiBot-Welle Juni 2026: Schadsoftware stiehlt aus über 100 Programmen
25.06.2026 - 17:58:13 | boerse-global.de
Die Schadsoftware ist seit 2015 aktiv und setzt nun auf raffinierte Infektionsketten, um Unternehmensdaten zu stehlen.
Mehrstufiger Angriff mit ausgefeilter Tarnung
Die aktuelle Kampagne, die Ende Juni 2026 beobachtet wurde, beginnt mit Spam-Mails, die JScript-Anhänge enthalten. Die Ausführungskette ist modular aufgebaut: Eine verschleierte JScript-Datei entschlüsselt ein Base64-kodiertes PowerShell-Skript. Dieses führt eine XOR-Entschlüsselung einer .NET-Komponente durch, die direkt in den Arbeitsspeicher geladen wird.
Um die Analyse zusätzlich zu erschweren, nutzen die Angreifer den ConfuserEx-Verschleierer. Dieser startet den ASP.NET-Compiler (aspnet_compiler.exe) und injiziert die eigentliche LokiBot-Schadsoftware in diesen legitimen Systemprozess. So läuft der Schädling im Kontext eines vertrauenswürdigen Programms und umgeht herkömmliche Sicherheitswarnungen.
Angreifer nutzen immer perfidere Methoden, um sich Zugriff auf sensible Firmendaten zu verschaffen. In diesem kostenlosen E-Book erfahren Sie, wie Sie aktuelle Bedrohungen frühzeitig abwenden und Ihr Unternehmen proaktiv absichern. IT-Sicherheits-Trends und Schutzmaßnahmen jetzt kostenlos entdecken
Gezielter Datendiebstahl aus über 100 Programmen
Im aktiven Zustand konzentriert sich LokiBot auf sein Hauptziel: das Abgreifen sensibler Informationen. Die Malware stiehlt Zugangsdaten aus über 100 verschiedenen Anwendungen – darunter Webbrowser, E-Mail-Clients und Kryptowährungs-Wallets.
Die gestohlenen Daten werden mit der aPLib-Bibliothek komprimiert, bevor sie an einen Kommando-und-Kontroll-Server (C2) übermittelt werden. Sicherheitsexperten stellten fest, dass diese Variante einen eindeutigen Mutex verwendet, der auf dem MD5-Hash der Systemkennung (MachineGuid) des infizierten Rechners basiert.
Trotz der technischen Raffinesse beim Eindringen entdeckten die Forscher eine Schwachstelle im Persistenzmechanismus: Zwar versucht der Lader, sich im AppData-Verzeichnis zu kopieren, doch ein Programmierfehler führt dazu, dass ein ungültiger Pfad in die Windows-Registry geschrieben wird. Dadurch startet die Malware nach einem Systemneustart nicht automatisch neu.
Großrazzia gegen Datendiebe – und LokiBot lebt weiter
Die Wiederbelebung von LokiBot fällt mit massiven Polizeiaktionen gegen andere Schadsoftware-Netzwerke zusammen. Bei der internationalen Operation Endgame, koordiniert von Europol und am 24. Juni 2026 bekanntgegeben, zerschlugen die Behörden die Infrastruktur mehrerer prominenter Datendiebe – darunter StealC, Amadey und SocGholish.
Da Datendiebe wie LokiBot gezielt psychologische Schwachstellen ausnutzen, ist die Sensibilisierung der Mitarbeiter der wichtigste Schutzfaktor. Dieses Anti-Phishing-Paket bietet eine detaillierte Analyse aktueller Angriffsmethoden und zeigt Ihnen in 4 Schritten, wie Sie die Hacker-Abwehr in Ihrem Betrieb stärken. Kostenloses Anti-Phishing-Paket für Unternehmen herunterladen
Die Aktion führte zur Beschlagnahmung von 326 Servern und 142 Domains. Rund 27 Millionen gestohlene Zugangsdaten konnten sichergestellt werden. LokiBot selbst war zwar nicht das primäre Ziel von Operation Endgame, doch seine anhaltende Verbreitung zeigt, wie widerstandsfähig der Markt für Datendiebstahl ist. Branchenpartner wie Microsoft und IBM X-Force beobachten, dass zerschlagene Netzwerke schnell durch andere Schädlinge ersetzt werden – und LokiBot mit aktualisierten Methoden die Lücke füllt.
