SolarisLoader: Neue Malware umgeht Windows Defender und Avast

Der Schädling SolarisLoader nutzt eine Treiberlücke aus, um Sicherheitssoftware zu deaktivieren und Schadcode nachzuladen.

Der als SolarisLoader bekannte Schädling nutzt eine Schwachstelle im Treiber des tschechischen Sicherheitsanbieters Safetica aus, um selbst die stärksten Abwehrmechanismen zu umgehen. Die als CVE-2026-0828 gelistete Lücke erlaubt es der Malware, hochriskante Schadsoftware nachzuladen – und das nahezu unbemerkt.

Angriff auf die Sicherheitskette

SolarisLoader verschafft sich Zugriff auf den Windows-Kernel, indem es den verwundbaren Safetica-Treiber ausnutzt. Einmal im System, kann die Malware mit höchsten Privilegien Befehle ausführen und gezielt Sicherheitsanwendungen ausschalten. Forscher beobachteten, dass der Schädling unter anderem Windows Defender, Avast, AVG, 360 Total Security und ReasonLabs beendet.

Um seine Aktivitäten zu verschleiern, manipuliert SolarisLoader die Antimalware-Schnittstelle (AMSI) sowie die Ereignisprotokollierung (ETW) von Windows. Zusätzlich ändert die Malware die Hosts-Datei des Systems und blockiert so den Zugriff auf mehr als 55 sicherheitsrelevante Domains. Das infizierte Gerät kann dadurch keine Updates mehr empfangen oder mit den Servern der Sicherheitsanbieter kommunizieren.

Die Analysten von Spamhaus haben mindestens zehn verschiedene Versionen von SolarisLoader identifiziert. Der Schädling verfügt über einen dreistufigen Persistenzmechanismus, der ihn selbst nach einem Neustart im System hält.

Verbreitung über Fake-Installer

Die Hauptverbreitungsmethode von SolarisLoader sind gefälschte Software-Installer. Sobald der Loader das System kompromittiert und die Sicherheitsvorkehrungen deaktiviert hat, lädt er weitere Schadsoftware nach. Forscher identifizierten als Sekundär-Payloads den Datendieb StealC, das Fernzugriffs-Tool REMCOS RAT sowie das Amadey-Botnetz.

Anzeige

Angriffe wie SolarisLoader zeigen, wie schnell herkömmliche Schutzmaßnahmen durch gezielte Manipulation ausgehebelt werden können. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen vor modernen Cyberbedrohungen schützen. IT-Sicherheit stärken und Bedrohungen abwenden

Künstliche Intelligenz als Brandbeschleuniger

Die Entdeckung von SolarisLoader fällt in eine Zeit, in der Schadsoftware zunehmend automatisiert und modular aufgebaut ist. Das ebenfalls Anfang Juli 2026 entdeckte Avalon-Framework zeigt ähnliche Fähigkeiten – inklusive der Ransomware-Komponente CrownX. Avalon sammelt breitflächig Zugangsdaten aus Webbrowsern, Kryptowährungs-Wallets und Unternehmenskommunikations-Tools wie Slack und Teams. Laut Sicherheitsexperten wurde die Entwicklung des Frameworks offenbar durch künstliche Intelligenz unterstützt.

Noch einen Schritt weiter geht die JadePuffer-Ransomware – sie gilt als erster vollständig autonomer Angriff durch einen KI-Agenten. In dokumentierten Fällen nutzte der Agent eine Schwachstelle in der Langflow-Plattform aus, führte eigenständig Aufklärung durch und bewegte sich lateral im Netzwerk. Bei einem Angriff verschlüsselte er dynamisch 1.342 Datensätze in einer Alibaba-Nacos-Datenbank und forderte Lösegeld in Bitcoin.

Anzeige

Mit dem Aufkommen KI-gestützter Angriffe verschärfen sich auch die gesetzlichen Anforderungen an die IT-Dokumentation und Risikovorsorge. Dieser kostenlose Umsetzungsleitfaden gibt Ihnen einen kompakten Überblick über die neuen Pflichten und Fristen der EU-KI-Verordnung. EU AI Act in 5 Schritten verstehen

Gezielte Kampagnen in Europa und den USA

Neben diesen breit angelegten Malware-Frameworks verfolgen Angreifer auch hochgradig zielgerichtete Kampagnen. Der Ousaban-Banking-Trojaner wurde im Mai 2026 gezielt gegen Nutzer in Spanien und Portugal eingesetzt. Die Malware nutzt serverseitiges Geofencing, um nur Opfer in bestimmten geografischen Regionen zu infizieren.

Im Hotel- und Gastgewerbe läuft seit April 2026 eine Kampagne, die mit fotogetarnten Archiven und bösartigen Weiterleitungen Node.js-Implantate verteilt. Auch etablierte Ransomware-Gruppen bleiben aktiv: Die Anubis-Gruppe – ein Rebranding der Sphinx-Operation – verzeichnete im Juni 2026 elf neue Opfer. Mehr als die Hälfte ihrer insgesamt 91 Ziele befinden sich in den USA, vor allem im Gesundheitswesen und im verarbeitenden Gewerbe.