<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>CyberDeutsch Nachrichten</title><link>https://www.cyberdeutsch.news/</link><description>Aktuelle Cybersicherheit-Nachrichten auf Deutsch — täglich kuratiert und zusammengefasst.</description><generator>Hugo</generator><language>de</language><lastBuildDate>Thu, 16 Jul 2026 00:08:00 +0200</lastBuildDate><atom:link href="https://www.cyberdeutsch.news/categories/malware/index.xml" rel="self" type="application/rss+xml"/><item><title>OkoBot schleust Seed-Phrase-Phishing in Ledger- und Trezor-Apps ein</title><link>https://www.cyberdeutsch.news/posts/3512-okobot-schleust-seed-phrase-phishing-in-ledger-und-trezor-apps-ein/</link><pubDate>Thu, 16 Jul 2026 00:08:00 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3512-okobot-schleust-seed-phrase-phishing-in-ledger-und-trezor-apps-ein/</guid><description>Kaspersky beschreibt OkoBot auf Windows: Das Framework injiziert gefälschte Wiederherstellungsseiten in echte Wallet-Apps.</description></item><item><title>Unit 42 beschreibt TuxBot v3 Evolution als IoT-Botnet mit Spuren von LLM-Unterstützung</title><link>https://www.cyberdeutsch.news/posts/3511-unit-42-beschreibt-tuxbot-v3-evolution-als-iot-botnet-mit-spuren-von-llm/</link><pubDate>Thu, 16 Jul 2026 00:07:43 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3511-unit-42-beschreibt-tuxbot-v3-evolution-als-iot-botnet-mit-spuren-von-llm/</guid><description>TuxBot v3 Evolution kombiniert IoT-Botnet-Funktionen mit Hinweisen auf LLM-generierten Code, berichtet Palo Alto Networks Unit 42.</description></item><item><title>Trend Micro: Angreifer missbraucht Gemini CLI zum Betrieb eines Botnetzes</title><link>https://www.cyberdeutsch.news/posts/3515-trend-micro-angreifer-missbraucht-gemini-cli-zum-betrieb-eines-botnetzes/</link><pubDate>Thu, 16 Jul 2026 00:07:29 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3515-trend-micro-angreifer-missbraucht-gemini-cli-zum-betrieb-eines-botnetzes/</guid><description>Laut Trend Micro steuerte ein Angreifer mit Gemini CLI ein kleines Botnetz und migrierte dessen C2-Infrastruktur.</description></item><item><title>Kompromittierte AsyncAPI-Pakete auf npm verteilten mehrstufige Botnet-Malware</title><link>https://www.cyberdeutsch.news/posts/3481-kompromittierte-asyncapi-pakete-auf-npm-verteilten-mehrstufige-botnet-malware/</link><pubDate>Wed, 15 Jul 2026 12:06:51 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3481-kompromittierte-asyncapi-pakete-auf-npm-verteilten-mehrstufige-botnet-malware/</guid><description>Vier kompromittierte Pakete im @asyncapi-Namensraum auf npm luden laut mehreren Forschern einen mehrstufigen Botnet-Loader nach.</description></item><item><title>LabubaRAT tarnt sich als NVIDIA-Software und verschafft Fernzugriff auf Windows-Systeme</title><link>https://www.cyberdeutsch.news/posts/3462-labubarat-tarnt-sich-als-nvidia-software-und-verschafft-fernzugriff-auf-windows/</link><pubDate>Wed, 15 Jul 2026 06:05:41 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3462-labubarat-tarnt-sich-als-nvidia-software-und-verschafft-fernzugriff-auf-windows/</guid><description>Blackpoint Cyber beschreibt mit LabubaRAT einen bislang nicht dokumentierten Rust-basierten RAT für Windows mit mehreren Kommunikationswegen.</description></item><item><title>Fast 300 gefälschte GitHub-Repositories verteilen Infostealer als vermeintliche Software-Downloads</title><link>https://www.cyberdeutsch.news/posts/3465-fast-300-gefaelschte-github-repositories-verteilen-infostealer-als/</link><pubDate>Wed, 15 Jul 2026 00:07:56 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3465-fast-300-gefaelschte-github-repositories-verteilen-infostealer-als/</guid><description>Arctic Wolf fand 292 gefälschte GitHub-Repositories, die legitime Projekte imitieren und eine BoryptGrab-Variante verbreiten.</description></item><item><title>ClickFix wächst zum Malware-Ökosystem – Reversing Labs setzt auf YARA statt AV und EDR</title><link>https://www.cyberdeutsch.news/posts/3476-clickfix-waechst-zum-malware-oekosystem-reversing-labs-setzt-auf-yara-statt-av/</link><pubDate>Wed, 15 Jul 2026 00:06:48 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3476-clickfix-waechst-zum-malware-oekosystem-reversing-labs-setzt-auf-yara-statt-av/</guid><description>ClickFix umgeht klassische Erkennung oft erfolgreich. Reversing Labs empfiehlt strukturelle YARA-Regeln gegen die Köderseiten.</description></item><item><title>Lieferkettenangriff auf Jscrambler-NPM-Pakete schleust plattformübergreifenden Infostealer ein</title><link>https://www.cyberdeutsch.news/posts/3438-lieferkettenangriff-auf-jscrambler-npm-pakete-schleust-plattformuebergreifenden/</link><pubDate>Tue, 14 Jul 2026 12:05:07 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3438-lieferkettenangriff-auf-jscrambler-npm-pakete-schleust-plattformuebergreifenden/</guid><description>Mehrere manipulierte Jscrambler-Paketversionen auf NPM verteilten Malware. Laut Jscrambler wurden sie 1.479 Mal heruntergeladen.</description></item><item><title>CrashStealer auf macOS tarnt sich mit notarisiertem Dropper vor Gatekeeper</title><link>https://www.cyberdeutsch.news/posts/3421-crashstealer-auf-macos-tarnt-sich-mit-notarisiertem-dropper-vor-gatekeeper/</link><pubDate>Tue, 14 Jul 2026 00:08:02 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3421-crashstealer-auf-macos-tarnt-sich-mit-notarisiertem-dropper-vor-gatekeeper/</guid><description>Jamf beschreibt mit CrashStealer einen neuen macOS-Infostealer, der über einen signierten und notarisierten Dropper verteilt wird.</description></item><item><title>CrashStealer tarnt sich auf macOS als Apple-Absturzmelder</title><link>https://www.cyberdeutsch.news/posts/3425-crashstealer-tarnt-sich-auf-macos-als-apple-absturzmelder/</link><pubDate>Tue, 14 Jul 2026 00:07:49 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3425-crashstealer-tarnt-sich-auf-macos-als-apple-absturzmelder/</guid><description>Jamf beobachtet mit CrashStealer einen neuen macOS-Infostealer, der sich als Apple-Komponente ausgibt und Zugangsdaten sowie Wallet-Daten stiehlt.</description></item><item><title>Manipuliertes Jscrambler-npm-Paket verteilte Infostealer-Malware</title><link>https://www.cyberdeutsch.news/posts/3424-manipuliertes-jscrambler-npm-paket-verteilte-infostealer-malware/</link><pubDate>Tue, 14 Jul 2026 00:07:37 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3424-manipuliertes-jscrambler-npm-paket-verteilte-infostealer-malware/</guid><description>Ein manipuliertes Jscrambler-Paket auf npm wurde in mehreren Versionen fast 1.500 Mal geladen.</description></item><item><title>Microsoft beschreibt GigaWiper als modulare Backdoor mit integrierten Zerstörungsfunktionen</title><link>https://www.cyberdeutsch.news/posts/3428-microsoft-beschreibt-gigawiper-als-modulare-backdoor-mit-integrierten/</link><pubDate>Tue, 14 Jul 2026 00:07:15 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3428-microsoft-beschreibt-gigawiper-als-modulare-backdoor-mit-integrierten/</guid><description>GigaWiper vereint Backdoor- und Wiper-Funktionen. Laut Microsoft erlaubt die Malware flexible Sabotage bis hin zu Fake-Ransomware.</description></item><item><title>RedHook missbraucht Wireless ADB für Shell-Zugriff auf Android-Geräten</title><link>https://www.cyberdeutsch.news/posts/3381-redhook-missbraucht-wireless-adb-fuer-shell-zugriff-auf-android-geraeten/</link><pubDate>Sun, 12 Jul 2026 22:39:27 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3381-redhook-missbraucht-wireless-adb-fuer-shell-zugriff-auf-android-geraeten/</guid><description>Group-IB beschreibt eine neue RedHook-Variante, die über Wireless ADB Shell-Rechte auf Android erhält.</description></item><item><title>Kompromittiertes npm-Paket jscrambler 8.14.0 installiert plattformübergreifenden Rust-Infostealer</title><link>https://www.cyberdeutsch.news/posts/3377-kompromittiertes-npm-paket-jscrambler-8140-installiert-plattformuebergreifenden/</link><pubDate>Sun, 12 Jul 2026 00:05:22 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3377-kompromittiertes-npm-paket-jscrambler-8140-installiert-plattformuebergreifenden/</guid><description>Die npm-Version jscrambler 8.14.0 führt beim Installieren einen Rust-Infostealer aus. Betroffen ist nur diese Release-Version.</description></item><item><title>Silver Fox setzt mit MODBEACON auf neuen Rust-Trojaner mit gRPC-Tunneln</title><link>https://www.cyberdeutsch.news/posts/3353-silver-fox-setzt-mit-modbeacon-auf-neuen-rust-trojaner-mit-grpc-tunneln/</link><pubDate>Fri, 10 Jul 2026 18:10:24 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3353-silver-fox-setzt-mit-modbeacon-auf-neuen-rust-trojaner-mit-grpc-tunneln/</guid><description>QiAnXin ordnet Silver Fox den neuen RAT MODBEACON zu. Die Malware nutzt gRPC-Streaming und eine modulare Architektur für verschlüsselte C2-Kommunikation.</description></item><item><title>Über 200 GitHub-Repositories verbreiten Windows-Malware über manipuliertes Go-Modul</title><link>https://www.cyberdeutsch.news/posts/3350-ueber-200-github-repositories-verbreiten-windows-malware-ueber-manipuliertes-go/</link><pubDate>Fri, 10 Jul 2026 12:05:30 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3350-ueber-200-github-repositories-verbreiten-windows-malware-ueber-manipuliertes-go/</guid><description>Socket beschreibt ein Netzwerk aus 222 Köder-Repositories auf GitHub, das über ein präpariertes Go-Modul Windows-Malware nachlädt.</description></item><item><title>Microsoft beschreibt GigaWiper als modularen Sabotage-Backdoor mit Wiper- und Verschlüsselungsfunktionen</title><link>https://www.cyberdeutsch.news/posts/3348-microsoft-beschreibt-gigawiper-als-modularen-sabotage-backdoor-mit-wiper-und/</link><pubDate>Fri, 10 Jul 2026 12:05:05 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3348-microsoft-beschreibt-gigawiper-als-modularen-sabotage-backdoor-mit-wiper-und/</guid><description>Microsoft analysiert mit GigaWiper eine Go-basierte Backdoor, die Wiper-, Verschlüsselungs- und Fernsteuerungsfunktionen kombiniert.</description></item><item><title>Microsoft analysiert Windows-Backdoor GigaWiper mit Wiper-, Fake-Ransomware- und Spionagefunktionen</title><link>https://www.cyberdeutsch.news/posts/3340-microsoft-analysiert-windows-backdoor-gigawiper-mit-wiper-fake-ransomware-und/</link><pubDate>Fri, 10 Jul 2026 00:05:56 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3340-microsoft-analysiert-windows-backdoor-gigawiper-mit-wiper-fake-ransomware-und/</guid><description>Microsoft beschreibt mit GigaWiper eine Windows-Backdoor, die Zerstörung, Überwachung und Fernsteuerung in einem Werkzeug vereint.</description></item><item><title>Gefälschte 7-Zip-Installer schleusen Geräte in ein kriminelles Proxy-Netz</title><link>https://www.cyberdeutsch.news/posts/3316-gefaelschte-7-zip-installer-schleusen-geraete-in-ein-kriminelles-proxy-netz/</link><pubDate>Thu, 09 Jul 2026 12:07:22 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3316-gefaelschte-7-zip-installer-schleusen-geraete-in-ein-kriminelles-proxy-netz/</guid><description>Infoblox beschreibt „Lurking Lizard“ als Betreiber eines Wohnraum-Proxy-Geschäfts mit mehr als 230 Täuschungsdomains.</description></item><item><title>Vidar-Kampagne trifft KMU mit Malvertising und Kryptomining</title><link>https://www.cyberdeutsch.news/posts/3308-vidar-kampagne-trifft-kmu-mit-malvertising-und-kryptomining/</link><pubDate>Thu, 09 Jul 2026 00:06:03 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3308-vidar-kampagne-trifft-kmu-mit-malvertising-und-kryptomining/</guid><description>Unit 42 beschreibt eine Malvertising-Kampagne, die Vidar und XMRig über getarnte Software-Downloads verteilt.</description></item><item><title>SCMBANKER greift mit ClickFix-Ködern Nutzer mexikanischer Finanzdienste an</title><link>https://www.cyberdeutsch.news/posts/3291-scmbanker-greift-mit-clickfix-koedern-nutzer-mexikanischer-finanzdienste-an/</link><pubDate>Wed, 08 Jul 2026 18:08:53 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3291-scmbanker-greift-mit-clickfix-koedern-nutzer-mexikanischer-finanzdienste-an/</guid><description>Elastic beschreibt eine laufende Kampagne gegen Mexikos Finanzsektor, bei der SCMBANKER über gefälschte CAPTCHA-Seiten verteilt wird.</description></item><item><title>Cisco Talos meldet neue „Leash“-Backdoors in China-naher Spionagekampagne</title><link>https://www.cyberdeutsch.news/posts/3295-cisco-talos-meldet-neue-leash-backdoors-in-china-naher-spionagekampagne/</link><pubDate>Wed, 08 Jul 2026 18:07:09 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3295-cisco-talos-meldet-neue-leash-backdoors-in-china-naher-spionagekampagne/</guid><description>Cisco Talos beobachtet bei UAT-7810 neue Backdoors für SOHO-Router und kompromittierte Systeme im Umfeld der Kampagne LapDogs.</description></item><item><title>RedWing: Android-Banking-Malware wird über Telegram als Mietservice angeboten</title><link>https://www.cyberdeutsch.news/posts/3276-redwing-android-banking-malware-wird-ueber-telegram-als-mietservice-angeboten/</link><pubDate>Wed, 08 Jul 2026 00:06:13 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3276-redwing-android-banking-malware-wird-ueber-telegram-als-mietservice-angeboten/</guid><description>Zimperium entdeckte mit RedWing einen Telegram-Mietservice für Android-Banking-Betrug mit anpassbaren Apps und Fernsteuerung.</description></item><item><title>Securonix beschreibt „Veil#Drop“: Mehrstufige Malware-Auslieferung über Blogspot und kompromittierte Websites</title><link>https://www.cyberdeutsch.news/posts/3252-securonix-beschreibt-veildrop-mehrstufige-malware-auslieferung-ueber-blogspot/</link><pubDate>Tue, 07 Jul 2026 00:06:32 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3252-securonix-beschreibt-veildrop-mehrstufige-malware-auslieferung-ueber-blogspot/</guid><description>Securonix meldet mit „Veil#Drop“ ein Framework, das über Blogspot gehostete Payloads und PowerShell nutzt, um PureLog Stealer einzuschleusen.</description></item><item><title>Kaspersky beschreibt neue APT-Kampagne mit BusySnake gegen Behörden und kritische Infrastruktur</title><link>https://www.cyberdeutsch.news/posts/3253-kaspersky-beschreibt-neue-apt-kampagne-mit-busysnake-gegen-behoerden-und/</link><pubDate>Tue, 07 Jul 2026 00:05:52 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3253-kaspersky-beschreibt-neue-apt-kampagne-mit-busysnake-gegen-behoerden-und/</guid><description>Kaspersky beobachtet Armored Likho mit BusySnake-Stealer gegen Behörden und kritische Infrastruktur in mehreren Ländern.</description></item><item><title>Gefälschte indische Steuer-Software verteilt DcRAT an Steuerzahler und Finanzteams</title><link>https://www.cyberdeutsch.news/posts/3242-gefaelschte-indische-steuer-software-verteilt-dcrat-an-steuerzahler-und/</link><pubDate>Mon, 06 Jul 2026 18:08:09 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3242-gefaelschte-indische-steuer-software-verteilt-dcrat-an-steuerzahler-und/</guid><description>Seqrite Labs beobachtet eine Phishing-Kampagne gegen Indiens Steuerumfeld, die über falsche Steuer-Tools DcRAT und weitere Schadsoftware ausliefert.</description></item><item><title>QuimaRAT: Java-basierte MaaS-Malware zielt auf Windows, Linux und macOS</title><link>https://www.cyberdeutsch.news/posts/3237-quimarat-java-basierte-maas-malware-zielt-auf-windows-linux-und-macos/</link><pubDate>Mon, 06 Jul 2026 12:05:08 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3237-quimarat-java-basierte-maas-malware-zielt-auf-windows-linux-und-macos/</guid><description>LevelBlue beschreibt QuimaRAT als plattformübergreifenden Java-RAT, der als Malware-as-a-Service angeboten wird.</description></item><item><title>PolinRider: Nordkoreanische Angreifer schleusen 108 bösartige Pakete und Browser-Erweiterungen in Entwickler-Ökosysteme ein</title><link>https://www.cyberdeutsch.news/posts/3235-polinrider-nordkoreanische-angreifer-schleusen-108-boesartige-pakete-und/</link><pubDate>Sat, 04 Jul 2026 18:05:21 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3235-polinrider-nordkoreanische-angreifer-schleusen-108-boesartige-pakete-und/</guid><description>Socket und OpenSourceMalware verknüpfen 108 bösartige Pakete und Erweiterungen mit der nordkoreanischen Kampagne Contagious Interview.</description></item><item><title>Avalon vereint Phishing, Credential-Diebstahl und CrownX-Ransomware in einem modularen Framework</title><link>https://www.cyberdeutsch.news/posts/3232-avalon-vereint-phishing-credential-diebstahl-und-crownx-ransomware-in-einem/</link><pubDate>Sat, 04 Jul 2026 00:05:14 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3232-avalon-vereint-phishing-credential-diebstahl-und-crownx-ransomware-in-einem/</guid><description>Blackpoint Cyber beschreibt mit Avalon ein neues Malware-Framework, das per Phishing verteilt wird und in CrownX-Ransomware mündet.</description></item><item><title>Kaspersky beschreibt Armored Likho: Spionageangriffe mit BusySnake auf Behörden und Stromsektor</title><link>https://www.cyberdeutsch.news/posts/3225-kaspersky-beschreibt-armored-likho-spionageangriffe-mit-busysnake-auf-behoerden/</link><pubDate>Fri, 03 Jul 2026 18:05:39 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3225-kaspersky-beschreibt-armored-likho-spionageangriffe-mit-busysnake-auf-behoerden/</guid><description>Armored Likho greift laut Kaspersky Behörden und den Stromsektor mit dem neuen Stealer BusySnake an.</description></item><item><title>PamStealer tarnt sich als Maccy und stiehlt macOS-Anmeldedaten</title><link>https://www.cyberdeutsch.news/posts/3219-pamstealer-tarnt-sich-als-maccy-und-stiehlt-macos-anmeldedaten/</link><pubDate>Fri, 03 Jul 2026 12:05:49 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3219-pamstealer-tarnt-sich-als-maccy-und-stiehlt-macos-anmeldedaten/</guid><description>Jamf Threat Labs beschreibt einen neuen macOS-Infostealer, der über gefälschte Maccy-Seiten verteilt wird.</description></item><item><title>Kaspersky: ToddyCat setzt Umbrij ein, um über OAuth auf Gmail-Konten zuzugreifen</title><link>https://www.cyberdeutsch.news/posts/3199-kaspersky-toddycat-setzt-umbrij-ein-um-ueber-oauth-auf-gmail-konten-zuzugreifen/</link><pubDate>Thu, 02 Jul 2026 18:08:09 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3199-kaspersky-toddycat-setzt-umbrij-ein-um-ueber-oauth-auf-gmail-konten-zuzugreifen/</guid><description>Kaspersky beschreibt mit Umbrij eine neue ToddyCat-Malware, die OAuth-Tokens abgreift und per Google API auf Gmail zugreift.</description></item><item><title>ChocoPoC versteckt RAT in gefälschten GitHub-PoCs für neue CVEs</title><link>https://www.cyberdeutsch.news/posts/3196-chocopoc-versteckt-rat-in-gefaelschten-github-pocs-fuer-neue-cves/</link><pubDate>Thu, 02 Jul 2026 12:05:36 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3196-chocopoc-versteckt-rat-in-gefaelschten-github-pocs-fuer-neue-cves/</guid><description>YesWeHack und Sekoia warnen vor ChocoPoC: Der RAT steckt in Abhängigkeiten gefälschter PoC-Repositories auf GitHub.</description></item><item><title>RustDuck kapert Router, Kameras und Server für DDoS-Botnetz</title><link>https://www.cyberdeutsch.news/posts/3166-rustduck-kapert-router-kameras-und-server-fuer-ddos-botnetz/</link><pubDate>Thu, 02 Jul 2026 00:10:32 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3166-rustduck-kapert-router-kameras-und-server-fuer-ddos-botnetz/</guid><description>XLab beobachtet seit Februar 2026 das Botnetz RustDuck, das Geräte kapert und mit einer in Rust umgebauten Malware DDoS-Angriffe vorbereitet.</description></item><item><title>ClickFix liefert Malware zunehmend über API-gesteuerte Payload-Server aus</title><link>https://www.cyberdeutsch.news/posts/3163-clickfix-liefert-malware-zunehmend-ueber-api-gesteuerte-payload-server-aus/</link><pubDate>Thu, 02 Jul 2026 00:09:51 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3163-clickfix-liefert-malware-zunehmend-ueber-api-gesteuerte-payload-server-aus/</guid><description>Forscher analysierte 3.000 ClickFix-Payloads: Server liefern pro Abruf neu verschleierte Befehle und umgehen Windows-Scans gezielter.</description></item><item><title>Phantom Squatting: Angreifer kapern von KI erfundene Domains für Phishing und Malware</title><link>https://www.cyberdeutsch.news/posts/3160-phantom-squatting-angreifer-kapern-von-ki-erfundene-domains-fuer-phishing-und/</link><pubDate>Thu, 02 Jul 2026 00:09:05 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3160-phantom-squatting-angreifer-kapern-von-ki-erfundene-domains-fuer-phishing-und/</guid><description>Unit 42 beobachtet Angriffe auf von KI halluzinierte Domains. Phishing-Seiten und Malware tauchen dort bereits in freier Wildbahn auf.</description></item><item><title>VEIL#DROP liefert PureLogs-Stealer über Blogger-Seiten aus</title><link>https://www.cyberdeutsch.news/posts/3189-veildrop-liefert-purelogs-stealer-ueber-blogger-seiten-aus/</link><pubDate>Thu, 02 Jul 2026 00:07:40 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3189-veildrop-liefert-purelogs-stealer-ueber-blogger-seiten-aus/</guid><description>Securonix beschreibt eine mehrstufige Angriffskette, die PureLogs über getarnte Skripte und Blogger-Seiten nachlädt.</description></item><item><title>Gefälschte Software-Seiten schleusen über ScreenConnect AsyncRAT ein</title><link>https://www.cyberdeutsch.news/posts/3188-gefaelschte-software-seiten-schleusen-ueber-screenconnect-asyncrat-ein/</link><pubDate>Thu, 02 Jul 2026 00:07:28 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3188-gefaelschte-software-seiten-schleusen-ueber-screenconnect-asyncrat-ein/</guid><description>Kaspersky beschreibt eine breit angelegte SEO-Kampagne, die über gefälschte Download-Seiten ScreenConnect und AsyncRAT auf Windows-Systeme bringt.</description></item><item><title>ReliaQuest: ClickFix dominiert inzwischen die Malware-Zustellung</title><link>https://www.cyberdeutsch.news/posts/3192-reliaquest-clickfix-dominiert-inzwischen-die-malware-zustellung/</link><pubDate>Thu, 02 Jul 2026 00:06:36 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3192-reliaquest-clickfix-dominiert-inzwischen-die-malware-zustellung/</guid><description>ReliaQuest sieht ClickFix als bevorzugte Methode zur Malware-Zustellung – zunehmend auch auf macOS.</description></item><item><title>Ousaban zielt mit gefälschten PDF-Ködern auf Bankkunden in Spanien und Portugal</title><link>https://www.cyberdeutsch.news/posts/3153-ousaban-zielt-mit-gefaelschten-pdf-koedern-auf-bankkunden-in-spanien-und/</link><pubDate>Wed, 01 Jul 2026 18:09:59 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3153-ousaban-zielt-mit-gefaelschten-pdf-koedern-auf-bankkunden-in-spanien-und/</guid><description>Fortinet beschreibt eine Ousaban-Kampagne gegen Windows-Nutzer in Spanien und Portugal mit Phishing-PDFs und versteckter Schadsoftware.</description></item><item><title>Angreifer nutzen CVE-2026-48558 in SimpleHelp für TaskWeaver und Djinn Stealer aus</title><link>https://www.cyberdeutsch.news/posts/3142-angreifer-nutzen-cve-2026-48558-in-simplehelp-fuer-taskweaver-und-djinn-stealer/</link><pubDate>Tue, 30 Jun 2026 18:11:10 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3142-angreifer-nutzen-cve-2026-48558-in-simplehelp-fuer-taskweaver-und-djinn-stealer/</guid><description>Eine kritische SimpleHelp-Lücke wird aktiv ausgenutzt, um die Malware TaskWeaver und Djinn Stealer zu verteilen.</description></item><item><title>SimpleHelp-Lücke CVE-2026-48558 für Malware-Verteilung ausgenutzt</title><link>https://www.cyberdeutsch.news/posts/3135-simplehelp-luecke-cve-2026-48558-fuer-malware-verteilung-ausgenutzt/</link><pubDate>Tue, 30 Jun 2026 12:05:32 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3135-simplehelp-luecke-cve-2026-48558-fuer-malware-verteilung-ausgenutzt/</guid><description>Eine kritische Lücke in SimpleHelp wird für Malware-Angriffe missbraucht. CISA führt CVE-2026-48558 nun im KEV-Katalog.</description></item><item><title>Djinn Stealer zielt auf Cloud-, Entwicklungs- und KI-Zugangsdaten</title><link>https://www.cyberdeutsch.news/posts/3122-djinn-stealer-zielt-auf-cloud-entwicklungs-und-ki-zugangsdaten/</link><pubDate>Tue, 30 Jun 2026 00:05:21 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3122-djinn-stealer-zielt-auf-cloud-entwicklungs-und-ki-zugangsdaten/</guid><description>Blackpoint beschreibt eine Kampagne über SimpleHelp-CVE-2026-48558, die den Stealer Djinn gegen Cloud-, CI/CD- und KI-Zugänge einsetzt.</description></item><item><title>Manipulierte npm- und Go-Pakete schleusen über VS-Code-Tasks einen Python-Infostealer ein</title><link>https://www.cyberdeutsch.news/posts/3108-manipulierte-npm-und-go-pakete-schleusen-ueber-vs-code-tasks-einen-python/</link><pubDate>Mon, 29 Jun 2026 18:09:52 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3108-manipulierte-npm-und-go-pakete-schleusen-ueber-vs-code-tasks-einen-python/</guid><description>JFrog und Nextron Systems beschreiben manipulierte npm- und Go-Pakete, die über VS Code einen Python-Infostealer nachladen.</description></item><item><title>Unit 42 beschreibt neue TinyRCT-Hintertür in Kampagne gegen Südostasien</title><link>https://www.cyberdeutsch.news/posts/3088-unit-42-beschreibt-neue-tinyrct-hintertuer-in-kampagne-gegen-suedostasien/</link><pubDate>Sat, 27 Jun 2026 00:08:55 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3088-unit-42-beschreibt-neue-tinyrct-hintertuer-in-kampagne-gegen-suedostasien/</guid><description>Palo Alto Networks Unit 42 ordnet TinyRCT der Gruppe CL-STA-1062 zu, die Behörden und kritische Infrastruktur in Südostasien angreift.</description></item><item><title>Kaspersky beobachtet StrikeShark-Kampagne mit neuer Malware SharkLoader</title><link>https://www.cyberdeutsch.news/posts/3087-kaspersky-beobachtet-strikeshark-kampagne-mit-neuer-malware-sharkloader/</link><pubDate>Sat, 27 Jun 2026 00:08:42 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3087-kaspersky-beobachtet-strikeshark-kampagne-mit-neuer-malware-sharkloader/</guid><description>StrikeShark verteilt die neue Loader-Malware SharkLoader und lädt damit Cobalt Strike auf kompromittierte Systeme.</description></item><item><title>Microsoft warnt vor Hotel-Phishing mit Foto-ZIP und Node.js-Implantat</title><link>https://www.cyberdeutsch.news/posts/3072-microsoft-warnt-vor-hotel-phishing-mit-foto-zip-und-nodejs-implantat/</link><pubDate>Fri, 26 Jun 2026 18:10:16 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3072-microsoft-warnt-vor-hotel-phishing-mit-foto-zip-und-nodejs-implantat/</guid><description>Seit April 2026 zielt eine Phishing-Kampagne auf Hotels in Europa und Asien. Microsoft beschreibt eine Infektionskette bis zu TonRAT.</description></item><item><title>Miasma kompromittiert npm-Pakete, GitHub Actions und ein Go-Projekt</title><link>https://www.cyberdeutsch.news/posts/3071-miasma-kompromittiert-npm-pakete-github-actions-und-ein-go-projekt/</link><pubDate>Fri, 26 Jun 2026 18:10:04 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3071-miasma-kompromittiert-npm-pakete-github-actions-und-ein-go-projekt/</guid><description>Forscher verknüpfen neue kompromittierte npm-Pakete, GitHub Actions und ein Go-Repository mit der Miasma-Kampagne.</description></item><item><title>Google: Turla baut mit StockStay sein Spionage-Toolkit gegen Ziele in der Ukraine aus</title><link>https://www.cyberdeutsch.news/posts/3083-google-turla-baut-mit-stockstay-sein-spionage-toolkit-gegen-ziele-in-der/</link><pubDate>Fri, 26 Jun 2026 18:06:03 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3083-google-turla-baut-mit-stockstay-sein-spionage-toolkit-gegen-ziele-in-der/</guid><description>Laut Google nutzt Turla die Malware StockStay seit Ende 2022 vor allem gegen ukrainische Behörden und Verteidigungsziele.</description></item><item><title>Google beschreibt neue Turla-Backdoor STOCKSTAY für Spionageangriffe gegen die Ukraine</title><link>https://www.cyberdeutsch.news/posts/3060-google-beschreibt-neue-turla-backdoor-stockstay-fuer-spionageangriffe-gegen-die/</link><pubDate>Fri, 26 Jun 2026 12:06:51 +0200</pubDate><guid isPermaLink="true">https://www.cyberdeutsch.news/posts/3060-google-beschreibt-neue-turla-backdoor-stockstay-fuer-spionageangriffe-gegen-die/</guid><description>Laut Google nutzt Turla die neue .NET-Backdoor STOCKSTAY gegen ukrainische Behörden und Militärorganisationen.</description></item></channel></rss>