Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen“ liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.
Die Kampagne ist technisch durchdacht: Security-Scanner und virtuelle Maschinen werden erkannt und auf google.com umgeleitet – nur echte Nutzer erhalten die Schaddatei. Diese wird über GitHub ausgeliefert, was HTTPS-Zertifikat und Vertrauenswürdigkeit suggeriert. Nach Ausführung nistet sich eine Electron-Applikation unter AppData\Roaming\LunarApplication\ ein, werden PowerShell-Skripte mit deaktivierten Sicherheitsrichtlinien ausgeführt und Persistenz über einen legitim wirkenden Windows-Registrierungspfad hergestellt. Zusätzlich wird Code in legitime Prozesse injiziert, um Erkennung zu erschweren.
Wie erkenne ich, ob ich betroffen bin? Wer eine Datei von einer der genannten Domains heruntergeladen und ausgeführt hat, sollte das System als kompromittiert betrachten. Konkrete Hinweise: das Verzeichnis LunarApplication im AppData-Ordner, zufällig benannte .yiz.ps1– oder .unx.ps1-Dateien im Temp-Ordner, sowie ungewöhnliche Einträge unter HKLM\SYSTEM\Software\Microsoft\TIP\AggregateResults.
Empfehlung: Sofort von einem sauberen Gerät alle wichtigen Passwörter ändern, die Bank informieren und bei genutzten Krypto-Wallets die Gelder auf eine neue Wallet mit frischer Seed-Phrase transferieren. Den betroffenen Rechner mit einem aktuellen Antivirenscanner prüfen, bevor er weiter genutzt wird. Grundsätzlich gilt: Windows-Updates kommen ausschließlich über die Windows-Einstellungen – niemals über eine Website oder eine Social-Media-Anzeige.
Quelle: Malwarebytes Blog, 20. Februar 2026
