Cyberkriminelle tarnen Malware als KI-Tools: Neue Welle gefälschter Anwendungen im Umlauf

24. Juni 2025

Cyberkriminelle nutzen den anhaltenden Hype um Künstliche Intelligenz, um Schadsoftware zu verbreiten. Laut aktuellen Erkenntnissen des Sicherheitsteams von Cisco Talos setzen Bedrohungsakteure vermehrt auf manipulierte KI-Installationsprogramme, um ihre Opfer mit Ransomware und Malware zu infizieren.

Demnach tarnen sich Schadprogramme als vermeintlich hilfreiche KI-Anwendungen – insbesondere solche, die im Bereich Marketing, Vertrieb und Technologie besonders gefragt sind. Diese Masche reiht sich in einen bereits seit dem vergangenen Jahr zu beobachtenden Trend ein, bei dem Cyberkriminelle Deepfake-Generatoren als Einfallstor für Malware nutzten.

Gefälschte KI-Websites als Einfallstor

Unter anderem wurde die PowerShell-basierte Ransomware CyberLock über eine manipulierte Website verbreitet, die sich als die legitime Domain novaleads.app ausgibt. Die Fake-Seite novaleadsai[.]com bietet dort angeblich KI-gestützte Tools an – tatsächlich infiziert die heruntergeladene Software jedoch das System und verschlüsselt gezielt Dateien. In der anschließenden Lösegeldforderung behaupten die Täter, das erpresste Geld werde für humanitäre Zwecke in Regionen wie Palästina, der Ukraine, Afrika und Asien verwendet – ein offensichtlicher Versuch, moralischen Druck auszuüben.

Eine weitere Ransomware im Fokus der Experten ist Lucky_Gh0$t, eine Variante der bekannten Chaos-Reihe, die mit geringfügigen Änderungen auf der sechsten Version (Yashma) basiert. Noch zerstörerischer ist die neu entdeckte Malware Numero: Sie manipuliert direkt die grafische Benutzeroberfläche (GUI) von Windows-Systemen und macht betroffene Rechner vollständig unbrauchbar.

SEO-Poisoning und Social Media als Verbreitungswege

Um ihre Schadsoftware möglichst weit zu streuen, setzen die Angreifer auf sogenannte SEO-Poisoning-Taktiken. Dabei werden Suchmaschinen manipuliert, sodass gefälschte KI-Tools in den Suchergebnissen prominent erscheinen. Auch über Plattformen wie Telegram und andere Messenger-Dienste in sozialen Netzwerken werden die schädlichen Downloads verbreitet.

Ziel sind oft Unternehmen, die gezielt nach neuen KI-Lösungen suchen. Die falsche Software wird in einem professionellen Rahmen präsentiert – häufig samt funktionsfähiger Installationsroutine –, wodurch potenzielle Opfer kaum misstrauisch werden. Das Risiko ist erheblich: Neben dem Verlust sensibler Daten drohen finanzielle Schäden sowie Reputationsverluste durch Sicherheitsvorfälle.

Unternehmen besonders gefährdet

Die legitimen Vorbilder der gefälschten KI-Tools sind vor allem im B2B-Vertrieb sowie in technologie- und marketingorientierten Branchen verbreitet. Das macht Unternehmen in diesen Bereichen besonders anfällig für solche Täuschungsversuche.

Cisco Talos warnt daher eindringlich davor, Software aus nicht verifizierten Quellen herunterzuladen. Die Sicherheitsexperten raten, Installationsdateien stets nur von offiziellen Anbieter-Websites zu beziehen, digitale Signaturen zu überprüfen und beim Einsatz neuer Tools grundlegende Sicherheitsprüfungen durchzuführen.

Schädliche Website, die die Ransomware CyberLock verbreitet Quelle: Cisco Talos

Beispiel für einen Blog-Beitrag-Header-Hintergrundbild. Quelle: Cisco Talos

Gefälschte KI-Tools als Einfallstor: CyberLock und Numero zielen auf Windows-Systeme

Cyberkriminelle setzen zunehmend auf Imitationen populärer KI-Anwendungen, um Schadsoftware zu verbreiten. Eine aktuelle Analyse zeigt, wie raffinierte Täuschungsmanöver dazu führen, dass ahnungslose Nutzer Malware installieren – in dem Glauben, ein nützliches KI-Tool herunterzuladen.

CyberLock tarnt sich als Gratis-KI-Service

Ein besonders perfides Beispiel ist die PowerShell-basierte Ransomware CyberLock, die über eine gefälschte Website mit der Domain novaleadsai[.]com verbreitet wird. Diese imitiert die legitime Plattform novaleads.app und bietet ein vermeintlich kostenloses 12-monatiges Abonnement eines KI-Tools an. Hinter dem Angebot verbirgt sich jedoch ein .NET-basierter Loader, der nach dem Herunterladen die Ransomware auf dem System des Opfers installiert.

Einmal aktiv, verschlüsselt CyberLock Dateien auf mehreren Festplattenpartitionen und versieht sie mit der Endung .cyberlock. Die Angreifer fordern ein Lösegeld von 50.000 US-Dollar – zahlbar in der anonymen Kryptowährung Monero. In der Forderung behaupten die Täter, das erpresste Geld werde für humanitäre Zwecke in Palästina, der Ukraine, Afrika und Asien verwendet – ein fragwürdiger Versuch, die Tat moralisch zu rechtfertigen.

Numero: Systemblockade statt Datendiebstahl

Ebenfalls neu entdeckt wurde eine Malware namens Numero, die sich als Installationsprogramm der Videobearbeitungs-KI InVideo AI tarnt. Die Schadsoftware wird über einen Dropper ausgeliefert, der eine Kombination aus Batch-Datei, VBScript und der ausführbaren Datei wintitle.exe enthält.

Nach dem Start versetzt Numero das betroffene Windows-System in einen Dauerzustand der Funktionsunfähigkeit: Die grafische Benutzeroberfläche (GUI) wird durch eine Endlosschleife systematisch beschädigt. Fenster, Buttons und Textinhalte werden dabei mit der Zahlenfolge „1234567890“ überschrieben. Obwohl keine Daten verschlüsselt oder gelöscht werden, wird das System durch die visuelle und funktionale Zerstörung faktisch unbrauchbar gemacht.

KI-Hype als Sicherheitsrisiko

Beide Beispiele verdeutlichen, wie Cyberkriminelle den wachsenden Markt rund um Künstliche Intelligenz für ihre Zwecke instrumentalisieren. Durch gefälschte Websites, Werbeanzeigen und Social-Media-Beiträge gelangen manipulierte Installationsprogramme in Umlauf, die sich gezielt an neugierige Nutzer und Unternehmen richten.

Sicherheitsforscher raten daher zur Vorsicht bei der Installation neuer KI-Tools. Empfohlen wird, ausschließlich auf etablierte Projekte zurückzugreifen und Installationsdateien nur über offizielle Anbieter-Websites zu beziehen. Insbesondere Angebote aus Werbeanzeigen oder über Messenger-Dienste sollten kritisch hinterfragt werden, um potenzielle Infektionen zu vermeiden.

---

Bild/Quelle: https://depositphotos.com/de/home.html