Angreifer haben die offizielle Download-Plattform des Open-Source-Tools JDownloader kompromittiert und einen Trojaner unters Volk gebracht.
Zwischen dem 6. und 7. Mai nutzten Unbekannte eine Sicherheitslücke im Content-Management-System der Website aus. Sie tauschten die legitimen Installationsdateien gegen eine schädliche Python-basierte Fernzugriffssoftware (RAT) aus. Betroffen waren das alternative Installationspaket für Windows sowie das Shell-Installationsprogramm für Linux. Die eigentlichen JDownloader-Installer sind normalerweise von der AppWork GmbH signiert – die manipulierten Versionen täuschten diese Signatur jedoch vor.
Wer sensible Daten auf seinem Windows-System vor heimlichen Spionage-Programmen schützen möchte, sollte seine Abwehr jetzt gezielt verstärken. Sicherheitsexperten zeigen in diesem kostenlosen Ratgeber, wie Sie Schnüfflern die Tür vor der Nase zuschlagen. Kostenloses Anti-Virus-Paket jetzt anfordern
Supply-Chain-Angriff mit System
Der Vorfall reiht sich ein in eine besorgniserregende Serie von Angriffen auf Software-Lieferketten. Selbst etablierte Plattformen werden hier zu unfreiwilligen Verteilern von Schadcode. Der eingesetzte Python-Trojaner ermöglicht es den Angreifern, Befehle auszuführen, Daten abzugreifen und dauerhaft auf infizierten Windows- und Linux-Systemen präsent zu bleiben.
Erst kürzlich, im April und Mai, erschütterte ein ähnlicher Vorfall die Sicherheitsbranche: Die Zertifizierungsstelle DigiCert wurde durch Social Engineering kompromittiert. Ein über den Support-Chat versendeter Schadlink genügte, um interne Systeme zu infiltrieren. Die Angreifer erbeuteten 27 Extended-Validation-Code-Signaturzertifikate. Diese nutzen sie nun, um die Schadsoftware „Zhong Stealer“ zu signieren – das Betriebssystem hält die Malware für vertrauenswürdig. DigiCert hat daraufhin 60 Zertifikate widerrufen.
Phishing wird raffinierter
Während Supply-Chain-Angriffe direkten Zugriff auf Systeme ermöglichen, entwickeln sich auch traditionelle Methoden wie Phishing rasant weiter. Microsoft deckte eine groß angelegte Kampagne auf, die zwischen dem 14. und 16. April rund 35.000 Nutzer in 26 Ländern ins Visier nahm. Besonders betroffen: das Gesundheitswesen (19 Prozent) und der Finanzsektor (18 Prozent).
Die Täter setzten „Adversary-in-the-Middle“-Techniken (AiTM) ein, um Multi-Faktor-Authentifizierung zu umgehen. Sie fingen Sitzungstoken ab und gelangten so an die Konten. Die schiere Masse ist erschreckend: Allein im ersten Quartal 2026 wurden 8,3 Milliarden Phishing-E-Mails registriert. Besonders QR-Code-Phishing („Quishing“) boomt – 18,7 Millionen Fälle im März, ein Anstieg um 146 Prozent.
Doch nicht nur E-Mails sind gefährlich. Der Banking-Trojaner TCLBANKER verbreitet sich über WhatsApp und Outlook und hat es auf 59 verschiedene Finanz- und Kryptoplattformen abgesehen. Und mit „PromptSpy“ wurde der erste Android-Schädling entdeckt, der Künstliche Intelligenz nutzt. Er zapft Googles Gemini AI an, um Bildschirminhalte auszulesen und Daten von gesperrten Geräten zu stehlen.
Kritische Lücken in Microsoft Outlook und Windows
Eine besonders kritische Sicherheitslücke in Microsoft Outlook (CVE-2026-33814) wird seit dem 14. April aktiv ausgenutzt. Der Fehler erlaubt Code-Ausführung ohne Benutzerinteraktion – eine speziell präparierte E-Mail mit einem manipulierten MIME-Teil genügt. Ein Patch war zwar bereits am 12. April verfügbar, doch viele Systeme sind noch immer ungeschützt.
Das Windows-Update KB5083769 von Mitte April sorgt derweil für Chaos in IT-Abteilungen. Es blockiert einen Treiber, um eine andere Sicherheitslücke zu schließen (CVE-2023-43896), zerstört aber die Backup-Funktionen von Macrium Reflect, Acronis Cyber Protect und NinjaOne. Microsoft rät, die Backup-Software zu aktualisieren, statt das Sicherheitsupdate zu deinstallieren.
Viele Unternehmen kämpfen zudem mit Altlasten: Eine beträchtliche Zahl setzt noch immer nicht unterstützte Windows-Server-Versionen (2003, 2008, 2012) ein – oft ohne aktuelle Backups. Da Windows Server 2016 im Januar 2027 das Ende des Supports erreicht, wird die Zeit knapp.
Angesichts immer raffinierterer Methoden wie Quishing oder KI-gestützter Malware ist ein moderner Identitätsschutz wichtiger denn je. Dieser Spezialreport erklärt, wie Sie auf die sichere Passkey-Technologie umsteigen und Ihre Konten vor Phishing schützen. Gratis-Report: Passwortlos anmelden mit Passkeys
Der große Ausstieg aus dem Passwort
Die Zahl der Angriffe auf Zugangsdaten ist laut aktuellen Studien um 71 Prozent gestiegen. Die Antwort darauf: passwortlose Authentifizierung. Am 11. Mai 2026 empfahl das britische National Cyber Security Centre (NCSC) offiziell den Umstieg auf Passkeys. Diese nutzen biometrische Daten und kryptografische Schlüssel und sind deutlich resistenter gegen Phishing.
Die großen Tech-Konzerne ziehen mit:
- Amazon: 456 Millionen Nutzer verwenden bereits Passkeys – ein Plus von 75 Prozent. Der Chief Security Officer des Konzerns berichtet von bis zu sechsmal schnelleren Anmeldevorgängen.
- Microsoft: Ab Januar 2027 sollen alle neuen Konten standardmäßig passwortlos sein. Auch die traditionellen Sicherheitsfragen werden abgeschafft.
- Apple: iOS 26.5 (Mai 2026) bringt verbesserte Sicherheitsfunktionen und Unterstützung für verschlüsseltes RCS.
- Proton: Der Schweizer Anbieter hat bereits im Frühjahr 2024 Passkey-Unterstützung in seinen Passwort-Manager Proton Pass integriert.
Doch Vorsicht: Forscher warnen, dass die cloudbasierte Synchronisation von Passkeys neue Angriffspunkte schaffen kann, wenn das Hauptkonto des Anbieters kompromittiert wird. Derzeit arbeiten 40 Prozent der Unternehmen in hybriden Umgebungen – mit einer Mischung aus Passwörtern und Passkeys.
Ausblick: Quantencomputer und Secure Boot
Für Windows-Administratoren tickt eine weitere Uhr: Die im Jahr 2011 ausgestellten Secure-Boot-Zertifikate laufen im Juni 2026 aus. Microsoft rollt seit April automatische Updates für Windows 11 und Windows 10 (ESU) aus, um die Zertifikate zu ersetzen. Systeme ohne diese Updates riskieren Boot-Level-Kompromittierungen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zudem vor Quantencomputern. Sollten diese bis 2031 die aktuellen RSA- und ECC-Verfahren knacken, wäre die gesamte heutige Verschlüsselung hinfällig. Das BSI empfiehlt den Umstieg auf Post-Quanten-Kryptografie (PQC) oder hybride Verfahren bis 2032. Signal, Chrome und 1Password haben bereits mit der Implementierung begonnen.
Mit Android 17, das für Juni 2026 erwartet wird, sollen neue Schutzmechanismen gegen Sideloading und Firmware-Trojaner Einzug halten. Der Fokus der Branche liegt zunehmend auf mehrschichtigen Sicherheitsmodellen mit Zero-Trust-Architekturen und biometrischer Authentifizierung. Für JDownloader-Nutzer gilt: Installierte Versionen prüfen – nur von AppWork GmbH signierte Programme sind vertrauenswürdig.
