Neue Serie: Malware Brief

Themen:

24. Juni. 2025

Dieser Beitrag ist der erste in einer neuen Serie für den Barracuda-Blog. Jeder unserer Malware-Kurzbeiträge wird einige verschiedene aktuelle Malware Bedrohungen hervorheben. Wir werden technische Details und ihre Position in der Taxonomie der Bedrohungsarten behandeln und untersuchen, wie jede einzelne Ihr Unternehmen potenziell angreifen und schädigen kann.

Eine nützliche Ressource für alle, die verfolgen möchte, welche Bedrohungen die Bedrohungslandschaft dominieren, ist der Any Run Malware Trends Tracker. Und wir beginnen mit der derzeit am häufigsten auf dieser Liste aufgeführten Malware: Tycoon 2FA.

Tycoon 2FA

Typ: Phishing-Kit (Phishing-as-a-Service)

Untertyp: Adversary in the Middle (AiTM)

Vertrieb: Telegram-Kanäle, zu 120 $ für 10 Tage

Häufige Ziele: Gmail, Microsoft 365-Konten

Bekannte Operator-Telegram-Handles: Tycoon Group, SaaadFridi und Mr_XaaD

Tycoon 2FA ist eine Phishing-as-a-Service (PHaaS)-Plattform, die erstmals im August 2023 entdeckt wurde. Sie wurde mindestens bis Anfang 2025 regelmäßig gepflegt und aktualisiert.

Wie der Name dieser Version schon sagt, ermöglichen die neuesten Updates, Strategien der Zwei-Faktor-Authentifizierung zu umgehen. Eine ausführliche technische Analyse von Tycoon 2FA finden Sie in diesem Threat Spotlight-Blogbeitrag.

Ein Hauptmerkmal der Malware Tycoon 2FA ist ihre außergewöhnliche Benutzerfreundlichkeit. Personen ohne umfangreiche technische Kenntnisse können sie leicht nutzen, um gezielte Phishing-Angriffe zu erstellen und auszuführen. Mithilfe von URLs und QR-Codes werden die Ziele auf gefälschte Webseiten geleitet, auf denen Zugangsdaten abgegriffen werden.

Tycoon 2FA kann dann verwendet werden, um Malware zu verbreiten, erweitertes Ausspionieren durchzuführen und mehr. Es umgeht die MFA, indem es als Man-in-the-Middle agiert und Sitzungscookies abfängt und wiederverwendet. Diese können auch nach der Aktualisierung der Zugangsdaten weiterhin wiederverwendet werden, wodurch der Nutzer einen verlängerten Zugriff auf die Zielnetzwerke erhält.

Wie oben erwähnt, verkauft der Betreiber hinter Tycoon 2FA 10-Tage-Lizenzen für 120 $ über Telegram.

Lumma

Typ: Infostealer

Vertrieb: Malware-as-a-Service

AKA: LummaC, LummaC2

Zielsysteme: Windows 7 – 11

Der Infostealer Lumma tauchte erstmals im August 2022 auf. Er ist leicht zugänglich und wird als Dienstleistung angeboten, mit mehreren Plänen zu unterschiedlichen Preisen.

Sobald Lumma Zugriff auf ein System erlangt – sei es durch eine erfolgreiche Phishing-Kampagne, versteckt in gefälschter Software oder durch Direktnachrichten auf Discord – ist Lumma sehr effektiv. Er findet, sammelt und exfiltriert eine breite Palette sensibler Daten. Er wird typischerweise verwendet, um Kryptowährungs-Wallets, Zugangsdaten und andere sensible Daten zu erfassen.

Die Malware kann Datenprotokolle von kompromittierten Endgeräten sammeln und auch als Loader fungieren, der andere Arten von Malware installiert.

Bemerkenswerterweise gaben Microsoft und Europol im Mai 2025 eine Operation bekannt, um Lumma zu beenden, indem die „zentrale Befehlsstruktur“ des Stealers abgeschaltet wurde, wobei mehr als 1.300 Domains stillgelegt und der Hauptmarktplatz für den Verkauf der Malware und gestohlener Daten geschlossen wurde. (Eine weitere Operation von Europol zur gleichen Zeit legte die Infrastrukturen für zahlreiche andere Arten von Malware lahm.)

Dennoch sind weiterhin viele Tausende von Systemen infiziert, und Lumma behält den vierten Platz auf der globalen Liste aktiver Malware von Any Run.

Quasar RAT

Typ: Fernzugriff-Trojaner (RAT)

Zielsysteme: Windows, alle Versionen.

Autor: Unbekannt

Verteilung: Spam-E-Mail-Kampagnen

Quasar RAT ist eine Art Malware, die es Kriminellen ermöglicht, die Kontrolle über infizierte Systeme zu übernehmen. Es ist als Open-Source-Projekt weit verbreitet, was es sehr beliebt macht. Der ursprüngliche Autor ist nicht bekannt. Während es ursprünglich als legitimes Fernzugriffstool gedacht war, hat es als Cyberbedrohungswaffe große Beliebtheit erlangt.

Quasar wurde mehrfach überarbeitet und aktualisiert, wodurch die Bandbreite der möglichen Aktionen, die es ausführen oder seinen Benutzern ermöglichen kann, erhöht wurde. Benutzer können auf eine grafische Benutzeroberfläche auf der serverseitigen Komponente der Malware zugreifen und die clientseitige Malware an ihre Bedürfnisse anpassen.

Zu den Funktionen gehören die Fernverwaltung von Dateien auf dem infizierten Computer, Änderungen an der Registrierung, das Aufzeichnen der Aktionen eines Opfers, das Herstellen von Remote-Desktop-Verbindungen und vieles mehr.

Ein bemerkenswertes Merkmal ist seine Fähigkeit, „stillschweigend“ zu arbeiten, sodass er lange Zeit unentdeckt bleibt, während Angreifer den infizierten PC kontrollieren.

Wie andere RATs wird Quasar hauptsächlich durch E-Mail-Spam-Kampagnen verbreitet, die die Malware oder ihren Loader als Dokument tarnen.

Derzeit steht Quasar RAT auf Platz 9 in Any Run’s globaler Liste, wobei in letzter Zeit ein Anstieg der Aktivitäten verzeichnet wurde.

Abonnieren Sie den Barracuda-Blog

Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN