Trotz internationaler Zerschlagung vor einem Jahr erlebt die berüchtigte Malware ein Comeback. Ein neuer, raffinierter Verteilungsmechanismus namens „CastleLoader“ treibt die Infektionszahlen in die Höhe und stellt Unternehmen vor neue Herausforderungen.
Die Erfolge der Strafverfolgung im Kampf gegen Cyberkriminalität erweisen sich oft als kurzlebig. Das zeigt das aktuelle Comeback von Lumma Stealer, einer Malware-as-a-Service-Plattform. Laut einem neuen Report des Sicherheitsunternehmens Bitdefender verzeichnet die Schadsoftware seit Dezember 2025 einen starken Anstieg. Verantwortlich ist eine neue, schwer zu erkennende Verteilungsmethode, die klassische Virenscanner umgeht.
CastleLoader: Die neue Tarnkappe für Malware
Den Kern des Wiederauflebens bildet CastleLoader, ein modularer und skriptbasierter „Loader“. Diese Software dient als Türöffner, um Schadcode wie Lumma Stealer auf Systeme zu schleusen. Der Clou: CastleLoader wird oft als AutoIt-Executable getarnt – einer eigentlich legitimen Skriptsprache. Durch ausgeklügelte Verschleierungstechniken, etwa das Umbenennen von Variablen oder das Einfügen von nutzlosem Code, kann der Schädling komplett im Arbeitsspeicher („fileless“) ausgeführt werden. Für traditionelle Antivirenprogramme ist das kaum zu erkennen.
Bitdefenders Daten zeigen, dass die Kampagne zwischen Dezember und Januar massiv an Fahrt aufgenommen hat. CastleLoader verteilt nicht nur Lumma Stealer, sondern auch andere Informationsdiebe und Fernzugriffstrojaner. Damit etabliert sich der Loader als zentrales Werkzeug im Cybercrime-Ökosystem.
„ClickFix“: Social Engineering trickst Nutzer aus
Der Erfolg der neuen Welle basiert nicht nur auf Technik, sondern auch auf ausgefeiltem Social Engineering. Die Hauptinfektionsmethode ist die sogenannte „ClickFix“-Technik. Opfer werden über kompromittierte Webseiten, gefälschte Software-Cracks oder angebliche Download-Portale für Spiele und Filme angelockt.
Dort erwartet sie eine gefälschte CAPTCHA- oder „Human Verification“-Abfrage. Statt eines Rätsels wird der Nutzer aufgefordert, einen spezifischen PowerShell-Befehl zu kopieren und in das Windows-„Ausführen“-Fenster einzufügen, um seine Identität zu bestätigen. Genau diese Aktion führt jedoch ein Skript aus, das CastleLoader nachlädt. Da der Befehl manuell vom Nutzer ausgeführt wird, umgeht er häufig Browser-Sicherheitswarnungen. Eine scheinbar routinemäßige Verifizierung wird so zum Einfallstor für Malware.
Wer sich vor solchen Social‑Engineering‑Angriffen schützen möchte, sollte Technik und Mitarbeiterschulungen kombinieren. Ein kostenloser Praxis‑Report erklärt, welche Sofortmaßnahmen in Unternehmen am meisten bringen – von Awareness‑Trainings über klare Regeln zum Umgang mit PowerShell bis zu wirksamen Erkennungschecks für verdächtige CAPTCHAs. Praktische Checklisten helfen IT‑Teams, Phishing‑ und Loader‑Angriffe schneller zu entdecken und zu stoppen. Gratis‑Cyber‑Security‑Report herunterladen
Schnelle Erholung trotz internationalem Schlag
Das Comeback ist bemerkenswert, weil die Lumma-Infrastruktur erst im Mai 2025 einen schweren Schlag erlitt. Eine Koalition aus US-Behörden wie dem FBI und Microsoft beschlagnahmte damals etwa 2.300 Domains und legte Steuerungsserver lahm. Doch der taktische Vorteil war nur von kurzer Dauer.
Die Betreiber wanderten schnell zu „bulletproof“-Hosting-Diensten ab, die Strafverfolgungsersuchen ignorieren, und bauten ihr Netzwerk neu auf. Die Zwangspause nutzten sie offenbar, um ihren Code zu optimieren und die Verteilungswege zu diversifizieren. Durch modulare Loader wie CastleLoader und interaktive Social-Engineering-Tricks reduzierten sie ihre digitale Spur, während die Infektionsraten hoch blieben.
Folgen für die Cybersicherheits-Branche
Die Rückkehr von Lumma Stealer unterstreicht ein grundlegendes Problem: den „Hau-den-Maulwurf“-Effekt bei der Bekämpfung von Malware-as-a-Service. Solange das Geschäft lukrativ bleibt – Lumma wird an „Affiliate“-Partner vermietet –, werden Kriminelle stets neue Wege finden, Sicherheitsmaßnahmen zu umgehen.
Der Trend zu skriptbasierten Loadern und In-Memory-Execution stellt Unternehmen vor neue Aufgaben. Die Zeit, in der das Blockieren bekannter Schadcode-Signaturen ausreichte, ist vorbei. Angreifer nutzen zunehmend legitime Systemwerkzeuge wie PowerShell, eine Taktik, die als „Living-off-the-Land“ bekannt ist. Dies erfordert fortschrittliche Verhaltensanalyse und heuristische Überwachung in den Firmennetzwerken.
Was auf Unternehmen zukommt
Sicherheitsexperten rechnen damit, dass andere Malware-Familien die CastleLoader- und ClickFix-Methoden kopieren werden. Der Erfolg der Kampagne liefert eine Blaupause für den Wiederaufbau nach Strafverfolgungsaktionen.
Unternehmen sollten ihre Sicherheitsschulungen aktualisieren und speziell auf die gefälschte CAPTCHA-Gefahr hinweisen. Die Aufforderung, „einen Befehl ins Ausführen-Fenster einzufügen“, ist ein klares Warnsignal, das in Standard-Phishing-Schulungen oft fehlt. Zudem wird IT-Administratoren geraten, die Nutzung von PowerShell und Skript-Tools auf Endgeräten einzuschränken, wo es möglich ist.
Das Katz-und-Maus-Spiel geht weiter. Die Cybersicherheits-Community erwartet, dass die Verschleierungstechniken von CastleLoader in den kommenden Monaten weiter verfeinert werden. Stetige Updates der Erkennungslogik und Threat-Intelligence-Daten bleiben daher unverzichtbar.
