Die E-Mail an den Bankmitarbeiter in Singapur wirkte vollkommen unverdächtig. Abgeschickt hatten sie scheinbar Kollegen von einem malaysischen Geldhaus, um vor einem vermeintlichen Fall von Geldwäsche zu warnen. Tatsächlich aber kam sie von einem völlig Fremden. Mit einem manipulierten Anhang, der wichtige Informationen versprach, verführte er den Banker zum Klick. Statt der erhofften wertvollen Infos lud er sich unbemerkt einen Trojaner auf den PC, der heimlich die Kontrolle über den Rechner übernahm.

Einen solchen Angriff nennt man Spear-Phising-Attacke und er ist keine Seltenheit. Was die Virenjäger der russischen IT-Sicherheitsfirma Kaspersky Labs bei dem geschilderten Fall Ende 2015 alarmierte, war der Urheber der Nachricht. Sie konnten den vermutlich echten Absender der Mail identifizieren. Es handelte sich um einen Nigerianer mit Wohnsitz in Malaysia.

"Nigerianische Onlinekriminelle kannten wir bislang nur als Absender relativ simpler Betrugs-Mails", sagt Kaspersky-Analyst Vitaly Kamluk, den das Unternehmen gerade an Interpol in Singapur ausgeliehen hat. "Derart ausgefeilte Attacken kannten wir von diesen Gruppierungen bislang nicht."

Die Analysten forschten weiter und fanden die Lösung: Die Angreifer hatten die Schadsoftware nicht selbst entwickelt, sondern schlicht gekauft. Kamluk und seine Kollegen entdeckten eine Art Online-Supermarkt, der Möchtegern-Cyberkriminellen ein Rundumpaket mächtiger Angriffswerkzeuge anbietet. Kaspersky-Analysten präsentierten ihren Fund am Montag auf der jährlichen Sicherheitskonferenz des Unternehmens.

Kaspersky nennt den Onlineshop nach dem Spitznamen seines mutmaßlichen Gründers und seines wichtigsten Werkzeugs: Adwind. Die Sicherheitsspezialisten identifizierten allein von 2013 bis zum Anfang 2016 mehr als 440.000 Attacken, die sie mit Cyberwaffen aus dem Adwind-Arsenal in Zusammenhang bringen.

Spuren dieser Angriffe entdeckten die Experten vor allem auf Rechnern in Russland, danach folgen Deutschland und die Vereinigten Arabischen Emirate. Zuletzt habe die Frequenz der Attacken erheblich zugenommen - im Zeitraum von Oktober 2015 bis zum Januar 2016 hätten sie ein "Allzeit-Hoch" erreicht.

Angebot in diversen Abopaketen

Die Webseite, auf der Möchtegern-Cyberkriminelle die kriminellen Services einkaufen können, ist im offenen Internet zu erreichen und professionell aufgemacht. Das unterscheidet sie von vielen anderen Angeboten der Untergrundwirtschaft, die oft strikte Zugangskontrollen durchführen und Einlass nur gewähren, wenn andere Onlinekriminelle für einen Neuen bürgen.

Derzeit geht Kaspersky von rund 2000 zahlenden Accounts aus - wobei Kamluk zufolge dahinter neben Einzelkunden offenbar auch zahlreiche Banden stehen. Den Jahresumsatz des Plattformbetreibers schätzt er auf einen sechsstelligen Dollarbetrag.

Das Angriffsarsenal, das die Adwind-Betreiber anbieten, hat es technologisch gesehen in sich: Die Schadsoftware wird als Java-Archiv (.jar) ausgeliefert und funktioniert weitgehend unabhängig davon, welches Betriebssystem auf dem befallenen Computer läuft. Die "Abonnenten" können, wenn der Rechner ihres Opfers erst einmal infiziert ist, jede Tastatureingabe mitschneiden, Passwörter stehlen, integrierte Kameras und Mikrofone einschalten sowie Dateien kopieren und manipulieren. Remote Administration Tool, kurz RAT nennt man solche Angriffswerkzeuge.

Nach den Befunden der Kaspersky-Experten wird dieser Hacker-Werkzeugkasten von klassischen Onlinebetrügern wie der berüchtigten Nigeria-Connection genutzt. Banden wie diese wollen sich mit den neuen Tools professionalisieren und ihren Wirkungsgrad erhöhen. Zu den Nutzern gehören aber auch Unternehmen, die sich Wettbewerbsvorteile von der Konkurrenzspionage versprechen, sowie Einzelpersonen, die Bekannte ausspionieren wollen.

Unter anderem seien Spuren des Schadprogramms auf Computern von Regierungsvertretern, bei Unternehmen im Energiesektor, bei Telekommunikationsfirmen und Medienbetrieben gefunden worden.

Auch in einem mysteriösen Todesfall in Argentinien spielt die Schadsoftware eine Rolle: IT-Experten entdeckten sie auf dem Mobiltelefon eines argentinischen Staatsanwalts, der im vergangenen Sommer mit einer Schussverletzung tot aufgefunden wurde - sowie auf Geräten eines argentinischen Journalisten .

Die Spur führt nach Mexiko

Kamluk vermutet den Entwickler des Schadprogramms in Mexiko. Die ersten Spuren seien in spanischsprachigen Foren aufgetaucht, als ein gewisser "Adwind" nach Testern für die von ihm entwickelte Schadsoftware suchte. Über frühere Versionen der Malware hatten auch andere IT-Sicherheitsunternehmen wie Symantec bereits berichtet. Die Software ist auch unter den Namen "Frutas", "JSocket" und "AlienSpy" bekannt.