Sicherheitsforscher haben eine Flut neuer, hochentwickelter Schadsoftware entdeckt, die gezielt Daten und Kryptowährungen von Windows- und macOS-Systemen stiehlt. Die Täter setzen dabei auf raffinierte Taktiken – von teuren Abo-Diensten für Malware bis hin zu gigantischen Dateien, die automatische Virenscanner austricksen.
OnyxC2: Enterprise-Malware im Abo-Modell
Ein neuer Star am Himmel der Cyberkriminalität heißt OnyxC2. Diese Malware-as-a-Service-Plattform (MaaS) bietet Kriminellen professionelle Datendiebstahl-Funktionen – gegen monatliche Gebühr. Die Schadsoftware zielt auf mehr als 210 verschiedene Anwendungen ab, darunter 37 Chromium- und acht Gecko-basierte Browser.
Anzeige: Die 634 Millionen Euro Kryptoverluste im April zeigen: Hochentwickelte Malware wie OnyxC2 und GoFlateLoader umgeht selbst aktuelle Virenscanner. Erfahren Sie in unserem kostenlosen Report, wie Sie Ihre Wallets und Ihren Mac effektiv schützen. Jetzt Schutz-Report anfordern
Ihr Hauptziel: Passwörter, Cookies und finanzielle Vermögenswerte. Konkret im Visier sind 17 verschiedene Kryptowallet-Anbieter, fünf Passwort-Manager und elf FTP-Clients. Die Preise sind gestaffelt: Die Standardversion kostet 250 Euro pro Monat, die Premium-Variante mit verstecktem Fernzugriff (HVNC) schlägt mit 500 Euro zu Buhr. Wer gleich den gesamten Quellcode haben will, zahlt 6.000 Euro.
Besonders perfide: OnyxC2 nutzt DLL-Sideloading mit legitimen digitalen Signaturen. Die Folge: Während der Auslieferungsphase schlug kein gängiger Scanner Alarm. Branchenbeobachter berichten von einem einzigen infizierten Rechner, der tausende Cookies und hunderte Autofill-Einträge preisgab.
macOS im Visier: „Smash-and-Grab“-Angriffe
Auch Apple-Nutzer sind längst kein sicherer Hafen mehr. Seit 2025 machen Infostealer mehr als 65 Prozent aller neuen macOS-Schadsoftware aus. Die Angreifer setzen auf manipulierte DMG-Dateien und SEO-Vergiftung, um Nutzer auf Fake-Installer für beliebte Programme wie den Arc-Browser zu locken – oder auf Torrent- und Crack-Seiten.
Die Schadsoftware-Familien heißen AMOS, Poseidon, Odyssey und MacSync. Sie arbeiten nach dem „Smash-and-Grab“-Prinzip: Die Daten werden sofort abgegriffen, ohne dass sich die Malware dauerhaft auf dem System einnistet. Um Apples Gatekeeper-Sicherheitsfunktion zu umgehen, setzen die Angreifer auf Social Engineering – sie überreden die Nutzer, die Schutzmechanismen manuell zu deaktivieren.
Sicherheitsexperten raten, ungewöhnliche Mount-Events im Auge zu behalten und Hintergrundbilder auf versteckte OCR-Anweisungen zu prüfen.
Gigantische Dateien als Tarnung
Die Methoden zur Umgehung von Sicherheitslösungen werden immer kreativer. Der GoFlateLoader, programmiert in der Sprache Go, ist seit April 2026 aktiv und hat bereits mehr als 33.000 Nutzer weltweit infiziert – mit Schwerpunkten in Brasilien, Indien, Mexiko und Spanien.
Sein Trick: Der Loader hängt riesige Datenblöcke aus Nullbytes an, um die Dateigröße auf 700 bis 950 Megabyte aufzublähen. Damit überschreitet er die 650-MB-Grenze gängiger Scan-Dienste wie VirusTotal. Einmal im System, liefert GoFlateLoader etablierte Infostealer wie Lumma, Vidar und StealC nach.
Parallel dazu sorgte der Miasma-Wurm für Schlagzeilen. Er zielte auf Cloud-Zugangsdaten in Microsoft-Repositories ab. GitHub deaktivierte daraufhin 73 Repositories, nachdem der Wurm KI-gestützte Coding-Agenten genutzt hatte, um seinen Schadcode auszulösen. Miasma, eine Variante des Shai-Hulud-Wurms, stiehlt gezielt Schlüssel für AWS, GCP und Azure.
Milliardenverluste in der Krypto-Branche
Anzeige: Mac-Nutzer aufgepasst: Infostealer machen inzwischen über 65% aller neuen macOS-Schadsoftware aus. Die Täter setzen auf manipulierte DMG-Dateien und Social Engineering. Unser Report zeigt die 5 Warnsignale und wie Sie sich wehren. Report für Mac-Sicherheit jetzt sichern
Die Flut an neuen Werkzeugen fällt mit einem sprunghaften Anstieg der finanziellen Schäden zusammen. Mitchell Amador, CEO der Sicherheitsplattform Immunefi, warnte auf einem Gipfeltreffen, dass die Integration fortschrittlicher KI-Modelle die Lage weiter verschärft habe.
Die Zahlen sind alarmierend: Allein im April 2026 wurden über 634 Millionen Euro von Kryptoplattformen gestohlen – der höchste monatliche Verlust seit einem großen Exchange-Hack Anfang 2025. Hinzu kommt eine Schwachstelle in der Wallet-Generierung, die Angreifern erlaubt, Gelder von seit 2018 brachliegenden Adressen abzuziehen.
Die Sicherheitsbranche rät Nutzern dringend, ihre Gelder auf neu generierte Wallets zu transferieren und Software ausschließlich aus offiziellen Quellen zu beziehen.
