Lesezeit: 6 Min.

Alarmstufe Rot: Fake-MAS-Domain schleust PowerShell-Malware ein

Cyberkriminelle missbrauchen eine gefälschte Website, die das beliebte „Microsoft Activation Scripts“ (MAS) Tool imitiert, um Windows-Systeme mit PowerShell-Malware zu infizieren. Hinter der Kampagne steckt ein sogenannter Loader („Cosmali Loader“), der im Hintergrund weitere Schadsoftware nachlädt und so das Einfallstor für Datendiebstahl, Spionage oder Ransomware öffnet.

Die Masche setzt auf Typosquatting – also die Registrierung fast identischer Domains – und trifft Nutzer dort, wo sie am verwundbarsten sind: beim schnellen Download vermeintlich nützlicher Tools. Was du jetzt wissen und wie du dein Unternehmen schützen solltest.

Was ist passiert? Typosquatting als Einfallstor

Angreifer haben eine Domain registriert, die dem Namen des legitimen MAS-Projekts täuschend ähnlich sieht. Besucher werden dazu verleitet, eine vermeintlich originale Datei herunterzuladen. Statt eines harmlosen Skripts landet jedoch eine bösartige PowerShell-Payload auf dem System, die den Cosmali Loader startet.

Ein Loader ist ein kleiner Erstangreifer, der unauffällig bleibt, Persistenz herstellt und anschließend weitere Malware aus dem Internet nachlädt. Das kann von Info-Stealern bis hin zu Ransomware reichen. Besonders kritisch: PowerShell ist fester Bestandteil von Windows, vielseitig einsetzbar und schwerer zu blockieren als klassische EXE-Dateien.

Warum PowerShell-Malware so effektiv ist

• Living-off-the-Land: Angreifer nutzen legitime Systemtools (LOLBins) wie PowerShell, um Sicherheitskontrollen zu umgehen.
• Verschleierung: Skripte können stark obfuskiert werden, was signaturbasierte Erkennung erschwert.
• Schnelle Ausführung: Kein Installationsprozess, geringe Spuren, direkter Speicherzugriff.

Security-Schlüsselwörter: Typosquatting, PowerShell-Malware, Phishing, Windows Security

Risikolage für Unternehmen: Mehr als nur ein „Nutzerfehler“

Diese Kampagne adressiert nicht nur Endanwender. Sie trifft gleichermaßen IT-Teams, die unter Zeitdruck nach vermeintlich schnellen Lösungen suchen. In vielen Umgebungen existieren zudem Schatten-IT, fehlende Execution-Policies und unklare Freigabeprozesse – ideale Voraussetzungen für erfolgreiche Angriffe.

• Compliance-Risiko: Der Download nicht verifizierter Tools kann Richtlinien, Lizenzen und Audit-Anforderungen verletzen.
• Seitliche Bewegung: Ein kompromittierter Host genügt oft, um mit erbeuteten Anmeldedaten weiter ins Netz vorzudringen.
• Folgeangriffe: Loader öffnen die Tür für Ransomware, Kryptominer oder Datendiebstahl – mit potenziell massiven Ausfallkosten.

Trendbezug: Angriffe über gefälschte Projektseiten und GitHub-Imitate haben deutlich zugenommen. Angreifer kombinieren Social Engineering, SEO-Poisoning und typosquattierte Domains, um Nutzer zum Download zu verleiten. Zero-Trust-Ansätze, strikte Allowlisting-Konzepte und Security Awareness sind heute unverzichtbar. Lies dazu auch unseren Leitfaden zu Awareness-Trainings und Phishing-Simulationen (siehe interne Ressourcen unter /awareness-training und /phishing-simulation).

So läuft der Angriff typischerweise ab

1. Täuschende Domain: Die Opfer besuchen eine typosquattierte MAS-Seite, oft prominent in Suchergebnissen platziert.
2. Download und Start: Ein „Installer“ oder Skript wird heruntergeladen und lokal gestartet.
3. PowerShell-Execution: Das Skript führt obfuskierten Code aus, um den Cosmali Loader in den Speicher zu laden.
4. Nachladen weiterer Malware: Der Loader kontaktiert Command-and-Control-Server und lädt modulare Schadsoftware nach.
5. Persistenz & Laterale Bewegung: Registry-Run-Keys, geplante Tasks oder WMI werden genutzt, um dauerhaft präsent zu bleiben und sich auszubreiten.

Security-Schlüsselwörter: Command-and-Control, Loader, Persistenz, EDR

Praxisbeispiel: Der schnelle Download, der teuer wurde

Ein Admin sucht nach einem Skript, um Testmaschinen „schnell“ zu aktivieren. Eine Top-Suchergebnis-Seite wirkt vertrauenswürdig – Design und Name stimmen. Nach dem Download und Start des Skripts ist das System unauffällig. Erst Tage später bemerkt das SOC ungewöhnliche Datenabflüsse. Die forensische Analyse zeigt: Ein Loader nutzte PowerShell, um unentdeckt einen Info-Stealer zu platzieren, Anmeldedaten abzugreifen und weitere Systeme zu kompromittieren. Der Ausfall der betroffenen Abteilung dauerte zwei Tage, die Kosten stiegen in den sechsstelligen Bereich.

Lehre: Vermeintliche Abkürzungen sind in der IT-Sicherheit oft Umwege in die Krise. Prüfe Quellen, nutze Hash- und Signaturprüfungen, und setze auf kontrollierte Paket- und Softwareverteilung.

Schutzmaßnahmen: So härtest du Windows und PowerShell

Sofortmaßnahmen für IT-Teams

• DNS- & Web-Filter: Setze Security-DNS (z. B. unternehmensweite Resolver) und blockiere neu registrierte und verdächtige TLDs. Nutze URL-Filter.
• EDR/Defender Härtung: Aktiviere Attack Surface Reduction (ASR)-Regeln, z. B. „Blockiere obfuskiertes/verschleiertes Skriptverhalten“ und „Blockiere Win32-APIs aus Office“. Prüfe die Auswirkungen zunächst im Audit-Mode.
• PowerShell-Logging: Aktiviere Script Block Logging, Module Logging und Transcription. Nutze AMSI-Integrationen für AV/EDR. Überwache Event ID 4104 und 4688.
• Constrained Language Mode: Beschränke PowerShell für Standardnutzer auf eingeschränkte Befehle; Admins erhalten Just-in-Time-Erhöhungen über PAM.
• Application Control: Implementiere Windows Defender Application Control (WDAC) oder AppLocker, um nur signierte/erlaubte Skripte und Binärdateien auszuführen.
• Least Privilege & UAC: Entferne lokale Adminrechte, erzwinge UAC auf hohem Niveau und nutze LAPS für lokale Konten.
• Patch- & Browser-Härtung: Halte Browser, Extensions und Frameworks aktuell. Deaktiviere unnötige Plugins und Makros. Nutze SmartScreen.

Pro & Contra: PowerShell komplett deaktivieren?

• Pro: Reduziert eine häufig missbrauchte Angriffsfläche; einfache Policy für besonders sensible Systeme.
• Contra: Bricht legitime Admin- und Automations-Workflows; führt zu Schatten-Tools; Sicherheits-Teams verlieren Sichtbarkeit über legitime Telemetrie.

Empfehlung: Nicht pauschal deaktivieren, sondern durch Constrained Language Mode, JEA (Just Enough Administration), signierte Skripte, starke Überwachung und WDAC/AppLocker absichern.

Security Awareness & Prozesse

• Schulung: Sensibilisiere Mitarbeiter für Typosquatting, SEO-Poisoning, Phishing und Social Engineering. Verweise auf interne Awareness-Angebote (siehe /awareness-training).
• Sichere Softwarebeschaffung: Nutze zentrale Paketquellen (z. B. WinGet, Chocolatey mit internen Repos). Prüfe Hashes und Signaturen.
• Incident Response vorbereiten: Playbooks für PowerShell-Malware, Loader-Befehlsketten und Credential Theft bereitstellen; regelmäßige Tabletop-Übungen durchführen.
• Monitoring & Threat Intel: Abgleich neuer IoCs und TTPs, enges Zusammenspiel von SOC, IT-Betrieb und Threat Hunting. Mehr dazu in unserem Security-Blog unter /blog.

Security-Schlüsselwörter: IT-Sicherheit, Security Awareness, Phishing, Zero Trust

Fazit: Jetzt Härtung priorisieren und Nutzer stärken

Die Fake-MAS-Domain zeigt erneut, wie effektiv Typosquatting und PowerShell-Malware Hand in Hand gehen. Loader wie „Cosmali“ sind leise, flexibel und öffnen Angreifern viele Türen. Wer sich schützen will, muss zweigleisig fahren: Technik und Menschen. Härte PowerShell und Endpunkte, führe konsequente Allowlisting-Strategien ein, und investiere in Security Awareness, damit Mitarbeitende gefälschte Websites und riskante Downloads frühzeitig erkennen.

Starte heute: Prüfe deine ASR-Policies, aktiviere PowerShell-Logging, und plane ein Awareness-Training mit Phishing-Simulationen. Wenn du Unterstützung bei Härtung, Monitoring oder Trainings brauchst, sprich uns an – wir helfen dir beim nächsten Sicherheits-Upgrade.

Tags: Malware, PowerShell, Typosquatting, Windows-Sicherheit, Threat Intelligence