Eine groß angelegte Malware-Kampagne missbraucht tausende Google-Dienste, um Schadsoftware zu verbreiten. Laut einem aktuellen Bericht nutzen Cyberkriminelle über 4.000 manipulierte Google Groups und 3.500 Google-URLs, um weltweit Organisationen anzugreifen. Sie setzen auf das Vertrauen in Googles Ökosystem, um Sicherheitsfilter zu umgehen.
Die Angreifer infiltrieren branchenspezifische Foren in Google Groups. Dort posten sie scheinbar legitime technische Diskussionen zu Themen wie Softwarekonfigurationen. In diesen Gesprächen verstecken sie betrügerische Download-Links, oft mit dem Namen der Zielorganisation für Glaubwürdigkeit. Die Links nutzen Google-eigene Weiterleitungen über Docs und Drive, um ihre wahre Absicht zu verschleiern.
Dynamische Angriffe auf Windows und Linux
Ein zentrales Merkmal dieser Kampagne ist ihre Fähigkeit, unterschiedliche Betriebssysteme gezielt anzugreifen. Der schädliche Weiterleitungsdienst erkennt zunächst das Betriebssystem des Opfers, bevor er eine maßgeschneiderte Schadsoftware liefert.
Für Windows-Nutzer liefert die Kampagne den Lumma Stealer, einen gefährlichen Informationsdieb. Um die Erkennung durch Antivirensoftware zu umgehen, haben die Angreifer die ausführbare Datei mit Null-Bytes aufgebläht. Die Datei erreicht so eine Größe von etwa 950 Megabyte, während die eigentliche schädliche Nutzlast nur rund 33 Megabyte umfasst. Diese Technik soll statische Analyse-Engines überfordern und Dateigrößen-Scanlimits überschreiten. Einmal ausgeführt, kann Lumma Stealer eine breite Palette sensibler Daten abgreifen: Browser-Zugangsdaten, Sitzungs-Cookies, Krypto-Wallets und sogar Zwei-Faktor-Authentifizierungstoken (2FA).
Für Linux-Nutzer setzt die Kampagne den „Ninja Browser“ ein – eine trojanisierte Version eines Chromium-basierten Browsers. Als datenschutzfreundliches Tool vermarktet, installiert der Browser heimlich schädliche Erweiterungen ohne Einwilligung des Nutzers. Eine beobachtete Erweiterung namens „NinjaBrowserMonetisation“ verfolgt Nutzer, injiziert Skripte in Web-Sitzungen, manipuliert Browser-Tabs und Cookies und speichert Daten extern. Der Browser richtet zudem versteckte Persistenz-Mechanismen ein, die dem Angreifer dauerhaften Zugriff und mögliche Fernsteuerung ermöglichen.
Die widerstandsfähige Bedrohung durch Lumma Stealer
Der Lumma Stealer, der nach einem Malware-as-a-Service-Modell (MaaS) operiert, hat trotz Strafverfolgungsmaßnahmen 2025 erhebliches Durchhaltevermögen bewiesen. Nach einer Aktion, die über 2.300 Command-and-Control-Domains ausschaltete, migrierten die Betreiber schnell zu neuer Infrastruktur und nutzten alternative Verbreitungsmethoden.
Neuere Kampagnen setzen verstärkt auf Social-Engineering-Köder und Loader wie CastleLoader, um die Malware zu verbreiten. Infrastruktur-Überschneidungen zwischen CastleLoader und Lumma Stealer deuten auf koordinierte Bemühungen oder gemeinsame Dienstleister hin. Diese Kampagnen nutzen oft gefälschte CAPTCHA-Abfragen („ClickFix“) und betrügerische Software-Updates auf Gaming-Plattformen, um Nutzer zur Ausführung der Malware zu verleiten. Die Nutzung legitimer Plattformen wie Discord und Steam für das Hosten der Loader verleiht den schädlichen Nutzlasten Glaubwürdigkeit.
Risiken für Unternehmen und Sicherheitsbranche
Diese Kampagne unterstreicht einen wachsenden Trend: Cyberkriminelle missbrauchen zunehmend vertrauenswürdige, legitime Plattformen für die Malware-Verteilung. Durch das Hosten bösartiger Links auf Googles Infrastruktur umgehen Angreifer konventionelle E-Mail- und Webfilter leichter, die Verkehr von seriösen Domains seltener blockieren. Die betriebssystemspezifische Natur des Angriffs zeigt ein höheres Maß an Raffinesse und maximiert die Wirkung in unterschiedlichen Umgebungen.
Die Risiken für kompromittierte Organisationen sind gravierend. Eine Lumma-Stealer-Infektion kann zu Diebstahl von Zugangsdaten, Account-Übernahmen, Finanzbetrug und seitlicher Bewegung innerhalb eines Firmennetzwerks führen. Der Ninja Browser stellt eine anhaltende Bedrohung dar, ermöglicht heimliches Abgreifen von Credentials und schafft eine Hintertür für zukünftige Angriffe. Die Widerstandsfähigkeit der Lumma-Stealer-Operation trotz früherer Abschaltungen zeigt die Herausforderungen für Strafverfolgungsbehörden bei der dauerhaften Zerschlagung von MaaS-Ökosystemen.
Ausblick und Schutzmaßnahmen
Sicherheitsexperten erwarten, dass Angreifer ihren Missbrauch vertrauenswürdiger Plattformen weiter verfeinern und ihre Social-Engineering-Taktiken anpassen werden. Die modulare Natur von Loadern wie CastleLoader und RenEngine ermöglicht eine flexible Auslieferung verschiedener Malware-Nutzlasten. Die finale Angriffsstufe könnte somit leicht von Lumma Stealer auf andere Bedrohungen wie Ransomware umgestellt werden.
Um den Risiken dieser Kampagne zu begegnen, sollten Organisationen umfassende Sicherheitsschulungen implementieren. Mitarbeiter müssen lernen, Social-Engineering-Versuche auch innerhalb vertrauenswürdiger Plattformen wie Google Groups zu erkennen.
Wer Organisationen vor solchen Angriffen schützen möchte, sollte bei der Awareness ansetzen. Ein kostenloses E-Book fasst aktuelle Cyber‑Security‑Awareness‑Trends zusammen, erklärt gängige Social‑Engineering‑Taktiken und liefert sofort umsetzbare Schutzmaßnahmen für Firmen aller Größen. Besonders nützlich: Praxisnahe Empfehlungen zur Erkennung aufgeblähter Binärdateien, verdächtiger Browser‑Erweiterungen und zur Einführung von Endpoint‑Detection‑and‑Response. Jetzt kostenloses Cyber-Security-E-Book herunterladen
IT-Sicherheitsteams sollten große, aufgeblähte ausführbare Dateien und ungewöhnliches Browser-Erweiterungsverhalten überwachen. Der Einsatz moderner Endpoint Detection and Response (EDR)-Lösungen ist entscheidend, um speicherresidente Nutzlasten und verschleierte Skripte zu identifizieren. Nutzer sollten Software ausschließlich von offiziellen und verifizierten Quellen herunterladen, um trojanisierte Anwendungen zu vermeiden.
