ThreatsDay: Missbrauch vertrauenswürdiger Plattformen prägt aktuelle Angriffswelle

Zusammenfassung

Die jüngste ThreatsDay-Übersicht zeichnet ein klares Muster: Angreifer nutzen nicht nur klassische Malware und Phishing, sondern missbrauchen gezielt vertrauenswürdige Plattformen, Werkzeuge und Standardfunktionen. Dazu zählen Chrome-Erweiterungen, geteilte Chats auf Claude, der OAuth-Device-Code-Flow von Microsoft 365, npm-Pakete, Steam Workshop und Cloud- oder KI-Helfer. Sicherheitsforscher und Hersteller meldeten in diesem Zusammenhang unter anderem Suchmaschinen-Manipulation über 23 Chrome-Erweiterungen, fileless-Angriffe auf macOS, Phishing über WhatsApp mit echten Buchungsdaten, bösartige npm-Pakete mit dem Post-Exploitation-Framework NastyC2 sowie aktiv ausgenutzte Schwachstellen wie CVE-2026-20127 und CVE-2026-49975. Parallel dazu veröffentlichten Behörden und Unternehmen neue Maßnahmen und Warnungen, darunter eine neue CISA-Richtlinie für beschleunigte Patches in US-Bundesbehörden, eine Warnung des FBI vor Bargeld-Kurierbetrug im Zusammenhang mit Krypto-Investments und neue Vorgaben der französischen ANSSI zu quantensicherer Verschlüsselung. Der Kern vieler Fälle ist derselbe: Nicht das Offensichtliche wird missbraucht, sondern das, was Nutzer und Unternehmen bereits als legitim eingestuft haben.

Microsoft hat angekündigt, dass DNS-over-HTTPS für den Windows DNS Server in Windows Server 2025 nun allgemein verfügbar ist. Laut Microsoft können Unternehmen damit verschlüsselten und authentifizierten DNS-Verkehr zwischen Client und Resolver innerhalb ihrer bestehenden lokalen DNS-Infrastruktur einsetzen, ohne eine neue Resolver-Architektur aufzubauen.

Jean-Marie R. berichtete über 23 täuschende Chrome-Erweiterungen, die heimlich die Standardsuchmaschine überschreiben und Suchanfragen über Monetarisierungsdienste umleiten. Die Kampagne umfasst laut dem Forscher mindestens acht verschiedene Vermittler und rund 758.000 betroffene Nutzer. Die Erweiterungen tarnten sich als Werkzeuge für Satellitenbilder, Produktivität, Nachrichten oder Karten, dienten tatsächlich aber Affiliate-Einnahmen.

Netskope Threat Labs beobachtete einen russischsprachigen Angreifer, der vor allem Ziele in Asien, Nordamerika und Ozeanien in den Bereichen Technologie, Medien und Unternehmensdienstleistungen attackiert. Über ClickFix-Köder wird ein AppleScript-basierter Infostealer auf macOS verteilt. Laut Netskope läuft die gesamte Infektionskette fileless ab, bis Persistenz eingerichtet ist. Die zweite Stufe mit dem Codenamen „Meow (DEBUG)“ stiehlt Zugangsdaten, Browserdaten, Sitzungscookies und Schlüsselbund-Inhalte und kann zudem Krypto-Wallet-Anwendungen trojanisieren.

Trend Micro beschrieb eine weitere ClickFix-Kampagne, bei der Angreifer die Funktion für geteilte Chats von Anthropic Claude missbrauchten, um die Malware MacSync zur Zugangsdaten-Entwendung auszuliefern. Zuvor kaperten die Täter laut Trend Micro Google-Ads-Suchergebnisse für beliebte KI-Entwicklerwerkzeuge und leiteten mehr als 2.000 Opfer auf bösartige Download-Seiten um. Später verlagerten sie ihre Operation auf claude.ai. Anthropic hat nach eigenen Angaben die verantwortlichen Konten gesperrt, die schädlichen geteilten Konversationen deaktiviert und zusätzliche Schutzmaßnahmen eingeleitet.

Bitdefender warnte vor einer laufenden Phishing-Kampagne, die Hotels, Resorts und andere Unterkunftsanbieter in mehr als zehn Ländern imitiert. Die Opfer erhalten personalisierte WhatsApp-Nachrichten mit Namen, Aufenthaltsdaten, Reservierungsdetails und Stornierungswarnungen. Beobachtet wurden Nachrichten auf Englisch, Deutsch, Französisch, Spanisch, Rumänisch und Polnisch. Ähnliche Kampagnen wurden in der Vergangenheit auch von Sekoia und Netcraft gemeldet.

Bei Schwachstellen ragt Ciscos aktualisierte Warnung zu CVE-2026-20127 heraus. Die kritische Privilegienausweitung in Catalyst SD-WAN Controller und Catalyst SD-WAN Manager betrifft laut dem aktualisierten Hinweis auch Catalyst SD-WAN Validator. Cisco zufolge wird die Lücke seit 2023 als Zero-Day von dem Akteur UAT-8616 ausgenutzt und erlaubt einem nicht authentifizierten Angreifer per präparierter Anfrage die Umgehung der Anmeldung und den Erhalt von Administratorrechten.

Manifold Security meldete zudem zwei Wege zu lokaler Codeausführung auf Entwicklerrechnern über ein bösartiges Repository in Cline, einer KI-Coding-Agent-Erweiterung für VS Code mit mehr als 4,3 Millionen Installationen. Laut Ax Sharma versagen sowohl der Dialog „Genehmigen/Ablehnen“ als auch der Auto-Genehmigungsfilter „Sichere Befehle“. Cline stufte die Befunde als außerhalb des Geltungsbereichs ein, will aber Korrekturen in einer kommenden Version veröffentlichen.

Weitere Berichte betreffen das öffentliche Proof-of-Concept zur „HTTP/2 Bomb“ (CVE-2026-49975), bei der Imperva bereits Aktivitäten zur Kartierung verwundbarer Server beobachtete, sowie drei npm-Pakete – node-ci-utils@2.1.4, win-env-setup@3.0.6 und macos-ci-utils@1.0.0 –, die laut Panther als Dropper für das bislang undokumentierte Framework NastyC2 dienen. Ebenfalls laut Panther installiert das bösartige Paket crypto-javascript@4.2.5 drei Nutzlasten, darunter einen Supply-Chain-Wurm, einen Monero-Miner und einen Exploit für Dirty Frag im Linux-Kernel.

Auch Behörden meldeten neue Entwicklungen: Die CISA veröffentlichte die Binding Operational Directive BOD 26-04, die FCEB-Behörden zu beschleunigten Patches bei Hochrisiko-Schwachstellen verpflichtet, teils innerhalb von drei Tagen. ANSSI kündigte an, ab 2027 keine Sicherheitsprodukte ohne quantenresistente Verschlüsselung mehr zu zertifizieren und von Unternehmen ab 2030 nur noch quantensichere Produkte zu verlangen. Das FBI warnte derweil vor Betrügern, die vor allem ältere Opfer nach Online-Kontakt zu Bargeldübergaben für angebliche Krypto-Investitionen bewegen.

ThreatsDay: Missbrauch vertrauenswürdiger Plattformen prägt aktuelle Angriffswelle

Ähnliche Artikel

Neueste Artikel