Malware-Operation, Microsoft

Malware-Operation: Microsoft zerschlägt StealC und Amadey am 24. Juni

25.06.2026 - 14:25:06 | boerse-global.de

Internationale Aktion legt über 200 Server lahm und sichert 27 Millionen gestohlene Zugangsdaten.

Microsoft und Europol zerschlagen StealC- und Amadey-Netzwerke
Malware-Operation - Digitales Netzwerkgitter mit rot leuchtenden Knoten und einem Vorhängeschloss-Symbol, das Cybersicherheitsbedrohungen und deren Störung symbolisiert. 25.06.2026 - Bild: über boerse-global.de

Eine groß angelegte Operation von Microsoft, Europol und internationalen Partnern hat die Infrastruktur der Schadsoftware-Netzwerke StealC und Amadey zerschlagen. Die Aktion am 24. Juni 2026 richtete sich gegen die kriminelle „Dienstleistungsindustrie" im Netz – mit beeindruckendem Erfolg.

Über 200 Server und Domains vom Netz genommen

Die Ermittler stellten mehr als 200 Kommando- und Kontrollserver (C2) sowie dazugehörige Domains außer Betrieb. Dabei kamen über 27 Millionen gestohlene Zugangsdaten ans Licht. Mehr als 18.000 infizierte Computer konnten bereinigt werden. Zudem wurden Kryptowährungen im Wert von rund 47 Millionen Euro beschlagnahmt oder eingefroren.

Die Aktion zeigt die gewaltige Dimension moderner Malware-as-a-Service-Netzwerke (MaaS). Kriminelle mieten hier Schadsoftware wie eine Cloud-Anwendung – fertig zur Nutzung, ohne eigene Programmierkenntnisse.

Zwei Schadsoftware-Familien im Visier

Die bekämpften Werkzeuge decken unterschiedliche Phasen digitaler Einbrüche ab:

  • Amadey (aktiv seit 2018) fungiert als sogenannter Loader. Er öffnet die Hintertür für weitere Schadsoftware.
  • StealC (seit 2023 im Umlauf) ist ein Informationsdieb. Er stiehlt Daten aus Browsern, Kryptowallets, Messenger-Apps und Gaming-Plattformen.

Microsoft setzte bei den Ermittlungen auf Copilot AI, um gemeinsame Infrastrukturen der beiden Malware-Familien zu identifizieren. Die Aktion folgte auf eine weitere Operation am 18. Juni, bei der bereits 106 Server der Schadsoftware SocGholish (verbunden mit der Gruppe Evil Corp) lahmgelegt wurden.

Sicherheitsforscher schätzen, dass StealC und Amadey allein in der ersten Maihälfte 2026 weltweit über 140.000 Computer infiziert hatten. Besonders betroffen: die USA, Polen und Italien. Eine Besonderheit von StealC: Erkennt die Software eine Systemsprache aus Russland, der Ukraine, Belarus, Kasachstan oder Usbekistan, löscht sie sich selbst.

Windows-Sicherheitsupdate: Secure-Boot-Zertifikate laufen aus

Anzeige

Die Zerschlagung von StealC und Amadey ist ein Erfolg, doch neue Angriffswellen über Teams und DLL-Seiteneingabe bedrohen weiterhin Unternehmensnetze. Dieser Report liefert die 5 wichtigsten Abwehr-Schritte und eine Tool-Liste zur Erkennung von Mistic-Backdoor. Jetzt kostenlosen Abwehr-Report anfordern

Parallel zu den Ermittlungen steht ein wichtiges Windows-Update an. Das Secure-Boot-Zertifikat „Microsoft Corporation KEK CA 2011" ist am 24. Juni abgelaufen. Das „Microsoft UEFI CA 2011" folgt am 27. Juni.

Nutzer von Windows 10 und 11 sollten auf die Secure-Boot-2023-Zertifikate umsteigen, um die Systemsicherheit zu gewährleisten. Der Status lässt sich in der Windows-Sicherheits-App prüfen: Ein grüner Indikator zeigt Erfolg an. Bei rotem Status ist ein BIOS-Update des Hardware-Herstellers nötig.

Neue Angriffswelle über Microsoft Teams

Eine gefährliche neue Kampagne namens „Edgecution" zielt auf Unternehmen ab. Angreifer geben sich über Microsoft Teams als IT-Support aus und locken Mitarbeiter auf eine gefälschte Outlook-Update-Seite.

Dort installieren die Opfer unwissentlich eine schadhafte Edge-Erweiterung namens „Edge Monitoring Agent". Diese läuft im unsichtbaren Headless-Modus und nutzt die Native-Messaging-Funktion, um mit einer Python-basierten Hintertür zu kommunizieren. Die Angreifer können so Befehle ausführen, Dateien manipulieren und Systemdaten abgreifen. Sicherheitsanalysten vermuten dahinter Zugangsvermittler für die Erpresserbande Payouts Kings.

Auch in Italien ist eine Phishing-Welle aktiv: Gefälschte Rechnungen installieren Schadsoftware, die über manipulierte Chrome-Richtlinien eine bösartige Erweiterung aufzwingt – zum Diebstahl von Cookies und Browser-Fingerprints.

Mistic-Backdoor: Stille Bedrohung für Unternehmen

Seit April 2026 treibt die Mistic-Backdoor ihr Unwesen in Versicherungen, Bildungseinrichtungen und IT-Firmen. Die Schadsoftware nutzt DLL-Seiteneingabe (DLL side-loading): Sie tarnt sich mit legitimen Microsoft-Dateien und läuft komplett im Arbeitsspeicher – für klassische Virenscanner kaum erkennbar.

Anzeige

Mistic-Backdoor und Edgecution-Kampagne nutzen DLL-Seiteneingabe und gefälschte Teams-Anrufe – klassische Virenscanner erkennen sie kaum. Erhalten Sie die konkrete Update-Anleitung für Secure-Boot-Zertifikate und die Tool-Liste zur Erkennung von Schatten-Malware. Tool-Liste & Update-Guide jetzt sichern

Mistic tritt häufig gemeinsam mit ModeloRAT auf und wird mit den Erpresserbanden Qilin, Akira und Black Basta in Verbindung gebracht. Die Hintertür erlaubt komplexe Operationen wie Dateimanipulation und direkte Ausführung im Speicher.

Die US-Behörde CISA warnt zudem vor aktiven Angriffen auf die Sicherheitslücke CVE-2021-43226. Diese Schwachstelle im Windows Common Log File System (CLFS) erlaubt Angreifern, lokale Rechte auszuweiten und Systemzugriff zu erlangen. Obwohl Microsoft den Fehler Ende 2021 schloss, bleibt er in aktuellen Erpressungskampagnen ein beliebtes Einfallstor.

de | wissenschaft | 69623640 |