Microsoft warnt vor einer Kampagne, die im Browser und auf Chat-Plattformen Spiele-Tools verspricht, jedoch Malware liefert. Führen Opfer die Schadsoftware aus, installiert das einen Remote Access Trojan (RAT), der Angreifern vollen Zugriff auf den Rechner gewährt.

Das berichtet Microsofts Threat-Intelligence-Team etwa auf Bluesky. Es handelt sich demnach um „trojanisierte“ Gaming-Werkzeuge. Konkret benennt Microsoft die ausführbaren Dateien „RobloxPlayerBeta.exe“ und „xeno.exe“. Die erstere Datei trägt den Namen einer legitimen Roblox-Executable, die zweitere soll ein „Executer“ sein, mit dem sich Roblox-Spiele optimieren und „verbessern“ lassen sollen.

Downloader und Malware statt Gaming-Tools

Microsoft benennt es nicht eindeutig, ob die angeblichen Gaming-Tools zur Verschleierung ihrer bösen Absicht auch die erwarteten Funktionen mitbringen oder ausschließlich den Infektionsprozess starten. Nach Start der Datei lädt die Schadsoftware eine portable Java-Laufzeitumgebung nach und startet damit ein bösartiges Java-Archiv (.jar) namens „jd-gui.jar“. Der Downloader setzt dabei auf PowerShell-Anweisungen und Living-off-the-Land-Binärdateien (LOLBins), also Befehlen, die Windows bereits standardmäßig mitbringt. Er setzt etwa „cmstp.exe“ ein, mit dem sich Profile im Verbindungsmanager-Dienst installieren lassen. Dem Befehl können sie .inf-Dateien übergeben, die ihrerseits böswillige Befehle enthalten und DLLs von entfernten Servern laden und ausführen. Damit umgehen sie gegebenenfalls Schutzmaßnahmen, da cmstp.exe eine legitime Microsoft-Datei ist.

Der Erkennung versucht die Malware außerdem durch Löschen des initialen Downloaders und der Einrichtung von Ausnahmen in den Windows-Defender-Einstellungen für die RAT-Komponenten zu entgehen. Persistente Einnistung gehört ebenfalls zum Malware-Repertoire. Sie ergänzt eine geplante Aufgabe und ein Start-Skript namens „world.vbs“. Am Ende hat es eine Mehrzweck-Malware verankert, die als Loader, Starter, Downloader und RAT fungiert. Microsoft nennt als IP-Adresse des Command-and-Control-Servers die 79.110.49[.]15, die sich jedoch ändern kann. Von dort aus können die Angreifer diverse Aktionen auslösen, wie Datendiebstahl oder die Installation weiterer Malware.

Microsoft empfiehlt, ausgehende Verbindungen zu der IP-Adresse zu überwachen und Alarme für Downloads von java.zip oder jd-gui.jar von nicht-Unternehmens-Ressourcen einzurichten. Admins sollten zudem nach zugehörigen Prozessen und Komponenten Ausschau halten. Die Ausnahmen im Windows Defender und die geplanten Aufgaben sollen IT-Verantwortliche ebenfalls etwa auf zufällige Namen überprüfen und bösartige Aufgaben und Start-Skripte entfernen. Betroffene Geräte sollen Admins zudem isolieren und die Zugangsdaten von Nutzern der kompromittierten Maschine zurücksetzen. Microsoft nennt noch Hashwerte von verdächtigen Dateien und Verbindungen auf powercat[.]dog/Port 443 als Indizien für eine Infektion (Indicators of Compromise, IOC).

Cyberkriminelle haben Spielerinnen und Spieler dauerhaft im Visier. Bereits im vergangenen Jahr versuchten Täter etwa, auf Discord-Servern Opfer mit vermeintlichen Beta-Tests für Spiele zu ködern. Die ausführbaren Dateien installierten jedoch lediglich Infostealer.

(dmk)

Die Entwickler der freien Firewall-Distribution IPFire haben Core Update 200 für Version 2.29 veröffentlicht. Das Update bringt Linux 6.18.7 LTS sowie eine Vorabversion des eigenen Domain-Blocklist-Systems DBL. Außerdem enthält es wichtige Sicherheitskorrekturen für OpenSSL und Performance-Optimierungen für den DNS-Proxy Unbound.

Der neue Kernel 6.18.7 LTS verbessert laut IPFire die Netzwerk-Performance durch den optimierten Durchsatz und geringere Latenzen. Zudem erweitert er die Packet-Filtering-Fähigkeiten und integriert aktuelle Hardware-Sicherheitsmechanismen. Für Nutzer bedeutet dies stabilere Verbindungen bei hoher Last und schnellere Paketverarbeitung.

Eine kritische Änderung betrifft ReiserFS-Nutzer: Der Kernel hat das Dateisystem als veraltet markiert. Betroffene IPFire-Installationen können das Update nicht einspielen. Nutzer müssen ihre Daten sichern, das System neu mit einem modernen Dateisystem wie ext4 oder Btrfs aufsetzen und die Daten anschließend wiederherstellen. IPFire hatte bereits über die Web-Oberfläche gewarnt, eine Migration erfordert jedoch Planung.

DBL als Shalla-List-Nachfolger

Mit DBL (Domain Blocklist) stellt IPFire ein eigenes kategorisiertes Blocklist-System vor, das als Reaktion auf das Auslaufen der Shalla-List im Januar 2022 entwickelt wurde. Die Beta-Version ermöglicht das Blockieren von Malware, Phishing, Werbung, Pornografie, Glücksspiel, Gaming-Seiten und DoH-Servern. Die Community kuratiert die Liste und aktualisiert sie stündlich.

DBL lässt sich über den URL-Filter für Proxy-Blocking oder via Suricata für Deep Packet Inspection nutzen. Letzteres ermöglicht eine umfassendere Kontrolle über DNS, TLS, HTTP und QUIC mit detaillierten Alert-Informationen. Die Community kann über ein Online-Reporting falsche Einträge melden oder neue Bedrohungen ergänzen.

DBL steht unter offenen Lizenzen: Der Code ist unter GPLv3+ verfügbar, die Daten unter CC BY-SA 4.0. Das System ist kompatibel mit Pi-hole, BIND, Unbound, pfSense, SquidGuard und Adblock-Plus. IPFire hat DBL bereits Anfang des Jahres vorgestellt.

Performance-Verbesserungen und Sicherheitsfixes

Der DNS-Proxy Unbound nutzt nun Multi-Threading mit einem Thread pro CPU-Kern statt Single-Threading. Dies parallelisiert DNS-Abfragen und führt zu schnelleren Response-Zeiten, besonders bei Multi-Core-Systemen mit vielen Clients. PPP sendet LCP-Keepalives nur noch bei Inaktivität, um Overhead auf DSL-, 4G- und 5G-Verbindungen zu sparen.

OpenSSL 3.6.1 behebt mehrere Sicherheitslücken. Die schwerwiegendste ist CVE-2025-15467: ein Stack-Overflow in CMS/AEAD mit potenziellem Remote Code Execution (hoher Schweregrad). Weitere Fixes: CVE-2025-11187 (PKCS#12 Buffer-Overflow, CVSS 6.1, mittel) und CVE-2025-66199 (TLS-1.3-DoS durch große Memory-Allokationen pro Verbindung). Auch glibc erhielt Korrekturen für mehrere CVEs (CVE-2026-0861, CVE-2026-0915, CVE-2025-15281).

Bei OpenVPN wurden Änderungen an der Konfiguration vorgenommen: MTU-, OTP- und CA-Parameter werden nicht mehr in Client-Configs gespeichert, sondern zentral vom Server gepusht. Dies erhöht die Flexibilität und Kompatibilität, etwa beim Import in NetworkManager. Ältere Clients könnten dadurch allerdings Probleme bekommen. Die zentrale Kontrolle soll Config-Fehler und Fragmentierungsprobleme minimieren.

DBL bildet die Grundlage für eine geplante DNS-Firewall in IPFire, die natives Content-Filtering auf DNS-Ebene gegen Werbung und Malware ermöglichen soll, unabhängig von Proxys. Die IPFire-Entwickler dankten der Community für die Unterstützung via Feedback und Spenden. Details zu Core Update 200 finden sich in den Release Notes.

Siehe auch:

• IPFire: Download schnell und sicher von heise.de

(fo)

Nacktaufnahmen, die ohne Zustimmung im Internet landen. Beleidigungen per Direktnachricht. Ex-Partner*innen, die das Handy verwanzen oder AirTags in der Tasche verstecken. All das bezeichnen Fachleute als digitale Gewalt. Es sind Taten, die im Internet oder mit Hilfe von technischen Hilfsmitteln passieren.

Wie häufig solche Taten in Deutschland vorkommen, dazu konnte man bislang nur rätseln. Eine repräsentative Studie, die belastbar hätte zeigen können, wie viele Menschen betroffen sind oder welche Taten sich besonders häufen, gab es nicht. Die letzte große Befragung zu Gewalterfahrungen stammt aus dem Jahr 2004, da war Facebook gerade neu und YouTube, Twitter oder Reddit waren noch nicht im Netz.

Auf die fehlenden Zahlen hatten Fachleute immer wieder hingewiesen, auch weil Deutschland eigentlich verpflichtet ist, die Daten zu erheben und sich nichts aufs Rätselraten zu beschränken. Seit 2018 gilt die Istanbul-Konvention, ein Abkommen des Europarats, das Frauen vor Gewalt schützen soll. Sie sieht auch vor, in regelmäßigen Abständen abzufragen, wie verbreitet Gewalt gegen Frauen ist.

Was die Kriminalstatistik nicht zeigt

Der Pflicht, Daten bereitzustellen, kam Deutschland Mitte Februar nach, mit Erscheinen einer Studie zu Gewaltbetroffenheit, die Bundesfamilienministerin Karin Prien (CDU), Bundesinnenminister Alexander Dobrindt (CSU) und der Präsident des Bundeskriminalamts Holger Münch gemeinsam vorstellten.

„Lebenssituation, Sicherheit und Belastung im Alltag“, kurz LeSuBiA, soll das sichtbar machen, was die Kriminalstatistik nicht abbilden kann: Wie viel Gewalt Menschen tatsächlich erleben. Denn das jährliche Lagebild des BKA behandelt zwar neuerdings ebenfalls die „Fallgruppe Digitale Gewalt“, zeigt allerdings nur einen Bruchteil der Fälle. Was nicht angezeigt und an eine Staatsanwaltschaft weitergereicht wird, taucht dort nicht auf.

Um dieses Dunkelfeld auszuleuchten, hat das BKA für LeSuBia mehr als 15.000 Menschen befragen lassen – darunter Männer, Frauen und Menschen, deren Geschlechtsidentität vom eingetragenen Personenstand abweicht oder die eine homo- oder bisexuelle Orientierung angeben. Das ist neu, frühere Umfragen beschränkten sich auf Frauen. Nun lassen sich direkte Vergleiche ziehen.

Abgefragt wurden verschiedenste Formen von Gewalt: körperliche und psychische Gewalt ebenso wie sexuelle Belästigung, Übergriffe oder Stalking. Die Studie bildet auch Taten ab, die sich unter der Schwelle von Strafbarkeit bewegen – zum Beispiel Demütigungen durch den eigenen Partner oder sexuelle Belästigung ohne Körperkontakt.

Beleidigungen und Drohungen an der Spitze

Bei der digitalen Gewalt unterscheidet die Studie zwischen zwei Kategorien. Digitale Gewalt im engeren Sinne sind demnach Taten, die vermeintlich nur im Internet begangen werden können: Mit KI erstellte Nacktbilder, gefälschte Profile auf Datingseiten oder Angriffe auf den eigenen Avatar in Online-Spielen.

Jeder zehnte Mensch hat solche Gewalt erlebt.

Digitale Gewalt im weiteren Sinne soll Übergriffe abbilden, die auch im analogen Leben passieren: Stalking, Drohungen oder sexuelle Belästigung. Gaben Menschen in der Befragung an, das erlebt zu haben, fragten die Interviewer*innen nach: Geschah das auch mit digitalen Mitteln? Jede fünfte Frau (20 Prozent) und jeder siebte Mann (13,9 Prozent) waren laut Studie in den letzten fünf Jahren von digitaler Gewalt betroffen.

Angezeigt wird nur ein kleiner Teil davon: Bei Frauen waren es 2,4 Prozent der Betroffenen, die den Übergriff anzeigten, bei Männern tat dies nicht einmal ein Prozent.

Frauen trifft es öfter, aber nicht nur sie

Bei der digitalen Gewalt im weiteren Sinne ist Bedrohung der häufigste Tatbestand. Am häufigsten werden Menschen im Netz oder per Messenger beleidigt oder bedroht. Zwei von 100 Befragten hatten das in den vergangenen fünf Jahren erlebt. Einen nennenswerten Unterschied zwischen Männern und Frauen fand die Studie dabei nicht.

Auch auf die Frage „Wurden schon persönliche oder heimlich erstellte Fotos oder Videos von Ihnen im Internet veröffentlicht oder per Messenger versendet“ antworteten erstaunlich viele Männer mit „Ja“. Rund jede hundertste Person gibt an, das schon einmal erlebt zu haben, unabhängig vom Geschlecht. Öffentlich verhandelt wurden bisher vor allem Fälle, in denen intime Aufnahmen von Frauen öffentlich wurden.

Rund ein Prozent der Befragten hat zudem in den vergangenen fünf Jahren mindestens einmal erlebt, dass gefälschte Profile unter dem eigenen Namen auf Social Media oder Datingplattformen angelegt wurden. Auch hier sind Männer und Frauen gleichauf. Lediglich von digitaler Gewalt in Onlinespielen sind deutlich mehr Männer betroffen.

Laut Michaela Burkard vom Dachverband der Frauenberatungsstellen bff fallen diese Zahlen überraschend niedrig aus. „Aus den Beratungsstellen wissen wir, wie alltäglich Formen digitaler Gewalt dort mittlerweile sind“, sagt sie. Sie vermutet, dass viele dieser Gewaltformen von den Betroffenen zunächst nicht als Gewalt wahrgenommen werden. Auch in Beratungsgesprächen brauche es manchmal mehrere Anläufe, bis auch digitale Übergriffe zur Sprache kommen.

Je jünger desto wahrscheinlicher

Nennenswerte Unterschiede zwischen den Geschlechtern findet die Studie dennoch. Denn abgefragt wurde nicht nur ob, sondern auch, wie häufig eine Gewalterfahrung aufgetreten ist. Laut LeSuBia erleben Frauen Fälle von digitaler Gewalt außerhalb einer Partnerschaft fünf Mal so häufig wie Männer. Sie empfinden dabei zudem mehr Angst und beurteilen die Situationen als schwerwiegender.

Im Altersvergleich zeigt sich zudem: Jüngere Menschen sind stärker betroffen als ältere. Die Gruppe der 16 bis 24-jährigen weist die höchsten Zahlen auf. Dieser Unterschied zwischen den Altersgruppen sei bekannt, sagt Burkard, jedoch nicht in der Ausprägung. „Dass junge Erwachsene so viel stärker betroffen sind und die Betroffenheit ab einem gewissen Alter so stark schwindet, haben wir so bisher noch nicht gesehen.“

Überrascht war sie auch darüber, dass laut LeSubia digitale Gewalt bei den betroffenen Männern in 51,1 Prozent der Fälle von einer fremden Person verübt wird, während es bei den betroffenen Frauen 33,9 Prozent sind, die eine fremde Person als Täter*in angeben. Die Beratungsstellen hätten hier andere Erfahrungen. Die dort geschilderte Gewalt werde meist von (Ex-)Partner*innen verübt.

Eine von 100 Frauen von einem Ex-Partner digital gestalkt

Die Studie fragt auch ab, wie häufig Menschen Stalking unter Einsatz von digitalen Hilfsmitteln erfahren haben. In der Vergangenheit konnte man sich hier nur auf das stützen, was Menschen von der Frontlinie im Kampf gegen solche Gewaltformen berichteten: Beratungsstellen und Frauenhäuser sprechen seit Jahren von einem Anstieg der Fälle – ob mit Hilfe von Spionage-Apps oder der üblichen Bordmittel, die in jedes Handy eingebaut sind.

LeSuBia zeigt, wie verbreitet das Ausspähen mittlerweile ist. Jede 30. der befragten Frauen hatte Erfahrungen mit digitaler Nachstellung. Weniger als jede zehnte Betroffene zeigte die Taten an.

Rund eine von 100 Frauen gab außerdem an, in den vergangenen fünf Jahren von einem Partner oder Ex-Partner gestalkt worden zu sein. In fast alles Fällen passierte das mit digitalen Mitteln. Männer sind ebenfalls von Stalking mit digitalen Mitteln betroffen, allerdings nur etwa halb so oft. Ein ähnliches Bild ergibt sich bei sexueller Belästigung im digitalen Raum.

„Die sehr geringe Bereitschaft, erlebte Gewalt bei der Polizei zur Anzeige zu bringen, hat uns nicht überrascht“, sagt Burkard. „Aus unserer Arbeit mit den Beratungsstellen wissen wir, dass es in vielen Polizeidienststellen an Sensibilität und Fachwissen im Umgang mit Partnerschaftsgewalt mangelt. Insbesondere Formen digitaler Gewalt scheinen bagatellisiert zu werden, oder der digitale Raum wird als zu abstrakt begriffen, um das Gewaltgeschehen einordnen zu können.“

„Er wusste immer genau, wo ich war“

Keine isolierte Gewaltform

Stalking und digitale Gewalt treten zudem besonders oft in Kombination mit körperlicher oder psychischer Gewalt auf. Auch dieser Zusammenhang ist unter Fachleuten bekannt. „Digitale geschlechtsspezifische Gewalt ist eine Fortsetzung bereits bestehender Gewaltverhältnisse“, sagt Michaela Burkard, “sie taucht selten isoliert auf.“

Die methodische Entscheidung, für die Studie vermeintlich „reine”“Formen von digitaler Gewalt von Mischformen wie Stalking oder sexueller Belästigung zu trennen, findet sie daher nicht sinnvoll. „Es wird zu wenig deutlich, dass digitale Gewalt ein Querschnittsthema ist, das in fast allen anderen Gewaltformen zum Tragen kommt. Es macht deshalb wenig Sinn, sie isoliert darzustellen. Die Einteilung in einen engeren und weiteren Sinn ist da unserer Ansicht nach wenig hilfreich“, sagt sie.

Queere und trans Menschen besonders betroffen

Aus anderen Ländern ist bekannt, dass nicht nur Frauen, sondern auch Personen jenseits der heterosexuellen zweigeschlechtlichen Norm ein besonders großes Risiko haben, angegriffen zu werden. Auch Polizeistatistiken zeigen einen Anstieg der queer- und transfeindlichen Straftaten in den vergangenen Jahren – wobei unklar ist, wie viel davon auf eine erhöhte Anzeigebereitschaft zurückgeht.

LeSuBia zeigt jetzt: LSBTIQ* Menschen sind auch im Dunkelfeld bei allen untersuchen Gewaltformen häufiger betroffen als andere Menschen. Das gilt auch für digitale Gewalt.

Rund 2.300 der Befragten rechnet LeSuBia dieser Kategorie zu. Es sind Personen, die angaben, homo- oder bisexuell zu sein oder dass ihr Personenstand von ihrem selbst gewählten Geschlecht abweicht. 16 Prozent von ihnen haben demnach digitale Gewalt im Laufe ihres Lebens erfahren, mehr als 10 Prozent in den vergangenen fünf Jahren. Sie sind damit doppelt so oft betroffen wie Menschen, die nicht in diese Gruppe fallen.