Der berüchtigte Information-Stealer Lumma ist zurück und gefährlicher denn je. Trotz einer internationalen Zerschlagungsaktion im Mai 2025 starten die Cyberkriminellen eine neue Angriffswelle. Sie nutzen eine raffinierte Social-Engineering-Methode namens „ClickFix“ und einen neuen Verteilungsmechanismus, den „CastleLoader“. Das Ziel bleibt dasselbe: sensible Daten wie Passwörter, Bankinformationen und Kryptowährungs-Wallets zu stehlen.
Sicherheitsunternehmen wie Bitdefender verzeichnen seit Ende 2025 einen massiven Anstieg der Infektionen. Die neue Kampagne unterstreicht die Widerstandsfähigkeit des „Malware-as-a-Service“-Geschäftsmodells, bei dem Kriminelle die Schadsoftware einfach mieten können.
Die perfide ClickFix-Täuschung
Der Schlüssel zum Erfolg der neuen Angriffe ist die ClickFix-Methode. Dabei locken die Angreifer Nutzer mit gefälschten Fehlermeldungen oder CAPTCHA-Abfragen in die Falle. Eine Webseite zeigt zum Beispiel einen Button an, den man angeblich anklicken muss, um ein Problem zu beheben.
Genau dieser manuelle Klick führt jedoch im Hintergrund ein bösartiges Skript aus. Da der Nutzer die Aktion selbst auslöst, umgeht sie viele automatische Sicherheitswarnungen der Browser. Die Täuschung macht das Opfer zum unfreiwilligen Komplizen – eine vertraute Web-Interaktion wird so zum Einfallstor.
CastleLoader: Der unsichtbare Türöffner
Der durch ClickFix ausgelöste Befehl lädt den CastleLoader nach. Dieser Loader agiert als Türöffner für den eigentlichen Lumma Stealer oder andere Schadprogramme. Seine Besonderheit: Er wird oft vollständig im Arbeitsspeicher ausgeführt und hinterlässt keine Spuren auf der Festplatte.
Diese „fileless“-Technik ist für traditionelle Antivirenprogramme nur schwer zu erkennen. Bitdefender-Analysten fanden heraus, dass CastleLoader modular aufgebaut ist. Er kann flexibel verschiedene Schadsoftware-Typen nachladen und ist damit ein vielseitiges Werkzeug für Cyberkriminelle.
Die Gefahr wird mobil
Die aktuelle Kampagne zielt zwar auf Desktop-Systeme ab, doch Experten warnen vor einer Ausweitung. Die ClickFix-Methode ist plattformunabhängig und ließe sich leicht für mobile Browser adaptieren. Android-Smartphones mit ihren Banking-Apps und Krypto-Wallets sind ein lukratives Ziel.
Gerade weil Angriffe wie ClickFix und fileless Loader zunehmend auch mobile Geräte bedrohen, ist jetzt Vorsicht geboten. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit klaren Schritt-für-Schritt-Anleitungen für Banking-Apps, Messenger und Krypto‑Wallets, damit Datendiebstahl keine Chance hat. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Sicherheitsfirmen führen bereits Werkzeuge zur Entfernung von Lumma für Android in ihren Datenbanken. Der Trend zu KI-gestützten, plattformübergreifenden Angriffen könnte die Bedrohungslage weiter verschärfen.
So schützen Sie sich vor der neuen Welle
Die Rückkehr von Lumma zeigt das ewige Katz-und-Maus-Spiel in der Cybersicherheit. Nutzer müssen wachsam bleiben. Experten empfehlen diese konkreten Schritte:
- Skepsis bewahren: Seien Sie misstrauisch bei unerwarteten Pop-ups oder Aufforderungen, etwas herunterzuladen oder auszuführen.
- Updates installieren: Halten Sie Betriebssystem, Browser und alle Programme stets aktuell, um Sicherheitslücken zu schließen.
- Offizielle Quellen nutzen: Laden Sie Software nur aus vertrauenswürdigen Stores wie dem Google Play Store herunter.
- Moderne Sicherheitssoftware einsetzen: Nutzen Sie Lösungen, die auch verhaltensbasierte Analysen und dateilose Bedrohungen erkennen.
- Zwei-Faktor-Authentifizierung aktivieren: 2FA erschwert den Account-Zugriff selbst bei gestohlenen Passwörtern erheblich.
