Comretix Blog

Der Softwarehersteller Oracle warnt vor Attacken auf E-Business Suite (EBS). Im Anschluss sollen die unbekannten Täter versuchen, Oracle-Kunden zu erpressen. Admins sollten umgehend die seit Juli dieses Jahres verfügbaren Sicherheitsupdates installieren.

In einem knappen Beitrag weist Oracle auf die Angriffe hin. Dem Softwarehersteller zufolge erhalten einige EBS-Kunden derzeit erpresserische E-Mails. In der Regel laufen solche Attacken so ab, dass Angreifer auf verschiedenen Wegen Zugriff auf Server bekommen, Daten kopieren und mit deren Veröffentlichung drohen. Das geht mit einer Lösegeldforderung einher. Weitere Details zu diesem konkreten Fall und in welchem Umfang die Attacken ablaufen, liegen derzeit nicht vor. Für weiterführende Anfragen sollen Oracle-Kunden den Support kontaktieren.

Oracle gibt an, dass die Angreifer wahrscheinlich an einer im Juli 2025 geschlossenen Sicherheitslücke ansetzen, um Zugriff auf Systeme zu bekommen. Welche Schwachstelle das konkret ist, führen sie nicht weiter aus. In EBS haben sie insgesamt neun Sicherheitslücken geschlossen. Davon sind drei Schwachstellen (CVE-2025-30745 "mittel", CVE-2025-30746 "mittel", CVE-2025-50107 "mittel") aus der Ferne und ohne Authentifizierung ausnutzbar.

Im Zuge des Critical Patch Updates im Juli haben die Entwickler insgesamt 309 Sicherheitsupdates veröffentlicht. Admins von Oracle-Software, insbesondere EBS, sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind. Oracle veröffentlicht Sicherheitsupdates immer gesammelt und quartalsweise. Es gibt aber auch Notfallupdates außer der Reihe, wenn die Umstände es erfordern.

Angreifer hatten Zugriff auf eine GitLab-Instanz von Red Hat und konnten so auf sensible Daten zugreifen. Die Verantwortlichen versichern, dass die Angreifer mittlerweile aus dem System entfernt wurden, sie konnten aber Kundendaten kopieren.

In einem Beitrag bestätigt Red Hat den Vorfall. Sie führen aus, dass die Angreifer Zugriff auf eine GitLab-Instanz des Consultingteams hatten. Dabei sollen die Angreifer Kundendaten, die unter anderem Codeauszüge, interne Kommunikation und bestimmte Geschäftsdaten enthalten, kopiert haben. Die betroffenen Kunden werden derzeit durch den Softwarehersteller kontaktiert.

Red Hat versichert, dass der Sicherheitsvorfall keine ihrer Produkte und Services betrifft. Die Software-Supply-Chain sei intakt und Downloads aus offiziellen Quellen sicher. Accounts und Plattformen wurden eigenen Angaben zufolge nicht kompromittiert. Wie die Attacke ablief, ist derzeit nicht bekannt. Die Untersuchungen laufen noch. Unter den Red-Hat-Kunden sind unter anderem AT&T, T-Mobile und Walmart.

Medienberichten zufolge, etwa auf der IT-Nachrichtenwebsite Bleepingcomputer, stecken die Kriminellen von Crimson Collective hinter dem Angriff. In einer Gruppe des Messengers Telegram geben sie an, 570 GB an Daten kopiert zu haben. Darunter sind ihnen zufolge primär Customer Engagement Reports (CERs), die unter anderem Details zu Netzwerkinfrastrukturen und Zugangstokens enthalten können.

Die Angreifer geben an, Red Hat erpressen zu wollen. Ihr Kontakt wurde aber nur mit einer automatisierten Mail zum Einreichen von entdeckten Sicherheitslücken beantwortet. Weitere Details zu dem Fall sind zurzeit nicht verfügbar.

Die Proxmox Server Solutions GmbH aus Wien hat mit dem Proxmox Mail Gateway 9.0 ihre Open-Source-Plattform für sichere E-Mail aktualisiert. Ebenso wie die Virtualisierungslösung Proxmox VE 9.0 und der Proxmox Backup Server 4.0 arbeitet das Mail Gateway damit auf Basis von Debian GNU/Linux 13.0 "Trixie". Während Debian standardmäßig einen Linux-Kernel 6.12 LTS verwendet, habe sich das Proxmox-Entwicklerteam für einen angepassten Linux-Kernel 6.14.11-2 entschieden.

Das Dateisystem ZFS hat gerade den zweiten Release Candidate für Version 2.4 veröffentlicht (zfs-2.4.0-rc2), Proxmox setzt jedoch auf die neueste stabile ZFS-Version 2.3.4. Als Datenbank-Engine kommt PostgreSQL 17 zum Einsatz. Gegen Spam, Viren, Trojaner und Phishing-E-Mails sollen unter anderem Open-Source-Technologien wie ClamAV 1.4.3 und SpamAssassin 4.0.2 mit aktualisierten Rulesets schützen.

In der Statistik-Ansicht erhalten Nutzerinnen und Nutzer eine Übersicht über ein- und ausgehende sowie Junk-, Virus-Mails und Bounces.

(Bild: Proxmox Server Solutions GmbH)

Das neue Quarantäne-Interface wurde speziell für Mobilgeräte optimiert und ermöglicht es seinen Benutzern, ihre quarantänisierten Nachrichten komfortabel über eine überarbeitete Weboberfläche zu verwalten. Entwickelt mit dem Rust-basierten Yew-Framework soll es die bisherige Implementierung komplett ersetzen.

Die Abhängigkeit von US-amerikanischen IT-Diensten birgt konkrete Risiken. Deutlich wurde dies jüngst etwa im Fall von Karim Khan, Chefankläger des Internationalen Strafgerichtshofs (IStGH), dem Microsoft plötzlich seine Konten sperrte. Grund seien Sanktionen der US-Regierung gegen den IStGH gewesen. Solche "Killswitch"-Aktionen zeigen die Verwundbarkeit auch von europäischen Nutzern. Zudem scannen Dienste wie Microsoft und Google automatisch Inhalte in ihren Cloud-Speichern und melden verdächtige Funde an US-Strafverfolgungsbehörden.

In Episode 144 des c't-Datenschutz-Podcasts widmen sich c't-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich gemeinsam mit Peter Siering dem Thema digitale Souveränität. Siering, seit 35 Jahren bei heise und Leiter des Ressorts Systeme und Sicherheit, bringt seine langjährige Erfahrung mit Microsoft-Produkten und Open-Source-Alternativen in die Diskussion ein.

(Bild: c't-Ressortleiter "Systeme & Sicherheit" Peter Siering in der Auslegungssache)

[Link auf Beitrag 4807783]

Für den Ausstieg aus Microsoft 365 empfiehlt Siering Nextcloud als zentrale Alternative. Die Open-Source-Software bietet kollaborative Dokumentenbearbeitung, Chat und Videokonferenzen. Kleine Unternehmen können diese Lösung über lokale Systemhäuser beziehen, müssen aber Schulungsaufwand und Umstellungspannen einkalkulieren, wie Siering betont. Der Wechsel erfordere Investitionsbereitschaft.

Am Beispiel der Kommunalwahlen Ontarios 2022 zeigen kanadische Forscher hohes Wahlbetrugsrisiko bei Online-Wahlen auf. Die Forscher dreier Universitäten haben zwar die Wahlserver nicht überprüft, aber schon bei den E-Voting-Webseiten Fehler gefunden. Noch schwerer wiegt die Handhabung der für die Stimmabgabe notwendigen Codes. In 70 Prozent der Kommunen mit Online-Wahl war das Wahlbetrugsrisiko hoch oder extrem.

Bei den Kommunalwahlen Ontarios 2022 waren 10,7 Millionen Personen wahlberechtigt. Etwa die Hälfte der Kommunen, generell kleinere, bot Online-Stimmabgabe an. Von diesen haben mehr als 70 Prozent die Stimmabgabe mittels papierenem Stimmzettel überhaupt abgeschafft. Insgesamt hätten 3,8 Millionen Ontarier online oder per Telefon abstimmen können.

Sechs E-Voting-Anbieter teilen sich den Markt der bevölkerungsreichsten Provinz Kanadas auf. Intelivote bedient die größte Zahl an Kommunen, Scytl die größte Zahl an Wahlberechtigten. In den zur Stimmabgabe aufgesetzten Webseiten des Marktführers Scytl sowie dem in Ontario weniger bedeutenden Anbieter Neuvote haben die Forscher eine Sicherheitslücke gefunden: Mittels cross-site framing attack war es Angreifern möglich, Wähler bei der Online-Stimmabgaben zu betrügen.

Denn die Stimmabgabe-Webseiten waren nicht gegen Einbettung in HTML iframes geschützt. Mit einem zwischengeschalteten Proxy und iframes und wäre es beispielsweise möglich gewesen, die angezeigte Reihenfolge der Kandidaten zu manipulieren, sodass die Stimme des Wählers vom Server anders registriert wurde, als der Wähler glaubte, zu wählen.

Das haben die Forscher Scytl demonstriert, das am nächsten Tag eine Abhilfemaßnahme ergriffen hat. Bei Neuvote haben die Forscher die Lücke zu spät bemerkt, um noch vor dem Wahlgang eingreifen zu können. Ob es solche Angriffe gegeben hat, ist unbekannt.

Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.

Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.

In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad "hoch". Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.

Die zweite Sicherheitslücke (CVE-2025-9231 "mittel") betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.

Die dritte Schwachstelle (CVE-2025-9232 "mittel") kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:

Nach der öffentlichen Empörung über den Erpressungsversuch eines britischen Kindergartenbetreibers durch Cyberkriminelle hat die Gang angeblich alle erbeuteten Fotos und Daten zu 8000 Kindern gelöscht. Das berichtet die BBC unter Berufung auf die Bande, die sich selbst Radiant nennt. Die hat demnach vor Tagen Zugang zu den Systemen von Kido Schools erlangt und dann begonnen, Profile zu einzelnen Kindern im Darknet zu veröffentlichen, um ein Lösegeld zu erpressen. Später seien dann sogar betroffene Eltern direkt kontaktiert worden, um Druck für die Zahlung der geforderten Summe zu erzeugen. Offenbar wurden sie dann aber von der öffentlichen Empörung überrascht. Zuerst hätten sie die erbeuteten Fotos weichgezeichnet und jetzt angeblich alle Daten gelöscht sowie sich entschuldigt.

Das britische Unternehmen Kido Schools betreibt zahlreiche Kindergärten in Großbritannien, den USA und Indien, von dem Cyberangriff waren Medienberichten zufolge aber nur die britischen Einrichtungen betroffen. Laut der BBC hat die Gang namens Radiant den Zugang zu den Systemen von Kido Schools nicht selbst erlangt, sondern einem anderen Cyberkriminellen abgekauft. Radiant habe dann mit dem Erpressungsversuch begonnen. Insgesamt wollte die Bande demnach wohl etwas über 110.000 Euro in Form von Bitcoin erpressen. Die Londoner Polizei hatte laut Reuters Ermittlungen aufgenommen, die aber nicht weit fortgeschritten waren.

Während die Cyberkriminellen nun aber behaupten, dass sie den Erpressungsversuch aus moralischen Gründen beendet hätten, meint die Cybersicherheitsexpertin Jen Ellis gegenüber der BBC, dass die Ursache wohl eigentlich eine andere gewesen sei. Die Bande sei "sichtlich schockiert", welche Aufmerksamkeit der Angriff bekommen habe und würde jetzt versuchen, ihre Marke zu schützen. Zudem kann gar nicht überprüft werden, ob die erbeuteten Daten tatsächlich gelöscht wurden. Der britische Nachrichtensender hat nach eigenen Angaben aber zumindest Hinweise erhalten, dass Kido Schools das geforderte Lösegeld nicht bezahlt hat. Für die Cybergang wäre der Angriff damit ein Verlustgeschäft. Zudem gebe es Hinweise, dass Radiant vergleichsweise unerfahren ist, schreibt die BBC noch.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Chefin der Signal-App hat Pläne in der EU kritisiert, wonach Messenger Hintertüren haben sollen, um die automatische Suche nach kriminellen Inhalten zu ermöglichen. "Wenn wir vor die Wahl gestellt würden, entweder die Integrität unserer Verschlüsselung und unsere Datenschutzgarantien zu untergraben oder Europa zu verlassen, würden wir leider die Entscheidung treffen, den Markt zu verlassen", sagte Meredith Whittaker der Deutschen Presse-Agentur (dpa). Die Datenschutzexpertin ist Präsidentin der gemeinnützigen Signal-Stiftung in den USA, die Signal entwickelt.

Die Europäische Union berät seit drei Jahren über ein Gesetz, mit dem der Kampf gegen Darstellungen sexuellen Kindesmissbrauchs neu geregelt werden soll. Der Vorschlag einer entsprechenden Verordnung sieht vor, dass Messenger wie WhatsApp, Signal, Telegram oder Threema ermöglichen sollen, dass die Inhalte noch vor der Verschlüsselung geprüft werden können. Dafür müssten die Apps einen Kontrollmechanismus enthalten, der jeden Inhalt überprüfen kann.

Whittaker sagte, Signal werde niemals die Integrität seiner Ende-zu-Ende-Verschlüsselung untergraben. "Sie garantiert die Privatsphäre von Millionen und Abermillionen von Menschen auf der ganzen Welt, oft auch in lebensbedrohlichen Situationen." Deshalb lehne Signal die Chatkontrolle ab. "Es ist bedauerlich, dass Politiker weiterhin einer Art magischem Denken verfallen, das davon ausgeht, dass man eine Hintertür schaffen kann, auf die nur die Guten Zugriff haben."

In der Debatte um eine Chatkontrolle in der EU hatte sich das Europaparlament gegen solche Pläne gestellt – mit einer breiten Mehrheit quer durch alle politischen Lager. Im Rat der Mitgliedstaaten gab es hingegen eine Mehrheit für die Chatkontrolle. Doch ohne Deutschland und einige andere Staaten waren die Pläne auch hier nicht durchsetzbar. Dies könnte sich unter der Ratspräsidentschaft von Dänemark nun ändern.

Wichtig wird sein, wie Deutschland sich positioniert. Im Koalitionsvertrag der schwarz-roten Bundesregierung heißt es: "Wir bekämpfen Diskriminierung im digitalen Raum und schützen digitale Grundrechte. Grundsätzlich sichern wir die Vertraulichkeit privater Kommunikation und Anonymität im Netz." Das Wort "grundsätzlich" deutet jedoch an, dass Ausnahmen von diesem Grundsatz zugelassen werden können. Kritiker befürchten, dass damit auch das Einbauen von Hintertüren in WhatsApp, Signal und Co. möglich sein soll.

Statistiken der Sicherheitsforscher von Shadowserver zufolge sind weltweit noch zehntausende Cisco-Firewalls verwundbar. Sicherheitspatches sind vorhanden, aber offensichtlich bis jetzt nicht überall installiert. Davon sind auch Instanzen in Deutschland betroffen.

Durch das erfolgreiche Ausnutzen einer "kritischen" Lücke (CVE-2025-20333) schieben Angreifer mit Root-Rechten Schadcode auf Systeme und kompromittieren sie. Die Lücke findet sich in der VPN-Web-Server-Komponente von Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software.

In einer Warnmeldung finden Admins nach der Eingabe von bestimmten Daten Hinweise auf für sie passende Sicherheitspatches. Die Lücken sind seit Ende vergangener Woche bekannt.

Eine aktuelle Statistik von Shadowserver zeigt, dass es noch über die ganze Welt verteilt verwundbare Instanzen gibt. Mit fast 20.000 Firewalls führen die USA die Liste an. In Deutschland sind zum Zeitpunkt dieser Meldung noch fast 2400 Instanzen angreifbar. Demzufolge sollten Admins umgehend handeln und ihre Netzwerke durch die Installation von Sicherheitspatches vor den laufenden Attacken schützen.

Die Ransomwaregang Medusa wollte über einen Innentäter Zugriff auf das Netzwerk der öffentlich-rechtlichen Rundfunkanstalt des Vereinigten Königreichs BBC erlangen, um sie zu erpressen. Sie lockten den Reporter mit einer Beteiligung an der Lösegeldsumme.

Wie er in einem Beitrag ausführt, wurde er über den Messenger Signal angeschrieben und die Kriminellen boten ihm 15 Prozent an. Den Gesamteinnahmen der BBC und der Lösegeldsumme zufolge müsse er dann nie wieder arbeiten, argumentierten sie.

Der Reporter gibt an, dass die Kriminellen versucht haben, sein Vertrauen zu erlangen, ihn aber auch unter Druck gesetzt haben. Er sollte ihnen seine internen Zugangsdaten schicken und Code auf seinem Arbeitscomputer ausführen. Das hat er aber nicht gemacht.

Dann versuchten die Angreifer, sich in seinen Account einzuloggen und er bekam eigenen Angaben zufolge im Minutentakt Nachrichten seiner Multi-Faktor-Authentifizierungs-App (MFA) aufs Smartphone geschickt. Hätte er darauf geklickt, hätte er den Angreifern die Tür zu seinem Account geöffnet. So ein MFA-Bombing führte etwa 2022 zum Uber-Hack.

Ab diesem Moment hat er die IT-Sicherheitsabteilung der BBC eingeschaltet und den Chat ignoriert. Dieser wurde dann von den Kriminellen gelöscht.

Drei Sicherheitslücken gefährden PCs, auf denen VMware Cloud Foundation, NSX, NSX-T, Telco Cloud Infrastructure, Telco Cloud Platform oder vCenter Server installiert sind. Sind Attacken erfolgreich, können Angreifer unter anderem eigentlich geschützte Daten einsehen.

In einer Warnmeldung führen die Entwickler drei mit dem Bedarfsgrad "hoch" eingestufte Sicherheitslücken (CVE-2025-41250, CVE-2025-41251, CVE-2025-41252) auf. Ist ein Angreifer bereits authentifiziert und kann geplante Aufgaben anlegen, soll er in diesem Kontext versendete E-Mails manipulieren können. Ohne Authentifizierung sind unbefugte Zugriffe auf Nutzernamen möglich, die Angreifer im Anschluss für Brute-Force-Attacken nutzen können.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Admins sollten aber nicht zu lange warten und die Sicherheitsupdates zeitnah installieren. Gegen die geschilderten Angriffe sind die folgenden Versionen geschützt:

Zuletzt sorgten "kritische" Lücken in unter anderem VMware ESXi für Schlagzeilen, weil Admins die verfügbaren Sicherheitspatches offensichtlich nicht flächendeckend installiert haben.

Der Podcast kann sich vor Themen kaum retten und schiebt daher eine Bonusfolge mit zwei Themen in den üblichen Zwei-Wochen-Rhythmus ein. Sie trägt die ungewöhnliche Folgennummer 41a – die Antwort auf das Leben, das Universum und alles folgt dann eine Woche später.

Zuerst sehen sich die Hosts Apples neues Memory Integrity Enforcement (MIE) an. Das besteht im Grunde aus einem speziellen – weil nach Datentypen agierenden – Allocator und der Enhanced Memory Tagging Extension (EMTE). Memory Tagging ist eigentlich eine Debug-Funktion, die sich aber als Sicherheitsmaßnahme zweitverwerten lässt. Speicherfehler sollen mit EMTE sofort und zuverlässig zu einem Crash führen, sodass sich daraus keine zur Codeausführung ausnutzbare Sicherheitslücke stricken lässt. Christopher und Sylvester erklären das Funktionsprinzip, sehen sich an, wer außer Apple an dergleichen arbeitet, und diskutieren, wie viel Sicherheitsgewinn MIE bringen wird.

<ir_inline itemname=podcast_mvp_url:1 type=0>

Außerdem reden die Hosts über die kompromittierten Salesforce-Instanzen von diversen, teilweise sehr hochkarätigen Sicherheits- und Infrastrukturfirmen. Die hatten sämtlich einen Chatbot der Firma SalesLoft eingebunden, über den sich Angreifer Zugriff auf Salesforce verschaffen konnten. Peinlich und nach der Meinung der Hosts auch reichlich unnötig – ein Chatbot von ohnehin fragwürdigem Nutzen sollte keine solche Angriffsfläche wert sein.

Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

Apple-User sollen ein Sicherheitsupdate flugs einspielen, um sich gegen Abstürze und/oder korrumpierten Arbeitsspeicher zu schützen. Nicht korrekter Arbeitsspeicher kann Sprungbrett für weitere Angriffe sein. Betroffen sind sowohl iPhones als auch iPads und diverse Apple-Computer. Daher drängt das BürgerCERT des deutschen Bundesamtes für Sicherheit in der Informationstechnik auf das Montagabend aufgelegte Update. Die Facheinrichtung warnt vor möglichen Denial-of-Service-Angriffen, hier in der Form wiederholter Abstürze.

Betroffen sind laut Apple folgende Betriebssysteme:

Der mit den Updates korrigierte Fehler liegt im Font Parser. Das ist jene Routine, die Schriftarten zu ihrer korrekten Darstellung verhilft. Leider lässt sich der Font Parser durch manipulierte Schriftarten dazu verleiten, in ihm eigentlich nicht zustehende Speicherbereiche zu schreiben.

Angreifer könnten die "Schwachstelle ausnutzen, um das Gerät zum Absturz zu bringen oder den Prozessspeicher zu beschädigen. Dadurch können andere, nicht näher spezifizierte Angriffe ermöglicht werden", informiert das BürgerCERT. Für erfolgreiche Ausnutzung genüge es, eine bösartige Anwendung oder ein bösartiges Dokument zu öffnen. Denn Schriftarten sind häufig in Webseiten, Dokumenten oder Anwendungen eingebettet oder werden nachgeladen.

Der Bug ist als CVE-2025-43400 registriert. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient seit mehr als 25 Jahren international der Dokumentation von Sicherheitslücken. Jede bekannte Sicherheitslücke kann dort eine eigene, eindeutige Nummer zugewiesen erhalten.

Obacht, wenn man nach macOS-Apps googelt: Entwickler insbesondere bekannter Indie-Anwendungen für den Mac warnen davor, dass auf GitHub Klone ihrer Produkte kursieren, die offenbar mit Ad- oder Malware verseucht sind. Der unabhängige Developer Jeff Johnson, bekannt unter anderem durch StopTheMadness Pro für Apples Safari-Browser, bemerkte Fake-Varianten seiner eigenen App, aber auch von 1Blocker, Airfoil, BBEDit, VLC, SoundSource, Little Snitch, OmniOutliner und sogar der Figma-App. Besonders dreist: Auch Schutzprogramme von Malwarebytes wurden geklont. Zu entdecken waren diverse der Fake-Anwendungen, wenn man schlicht nach "macOS" auf GitHub suchte. Sie tauchten aber auch teils gut gerankt bei Google auf, weil die Scammer passende SEO-Keywords verteilt haben. GitHub, eine Microsoft-Tochter, ist zwar informiert, kommt aber mit dem Löschen nicht hinterher oder reagiert erst gar nicht.

Die gefälschten Anwendungen verfügen jeweils über eigene GitHub-Repositories und wurden von erst kürzlich erstellten Accounts angelegt. Als Support- oder Impressums-Adresse nutzen sie Fake-E-Mails, die den jeweiligen App-Namen enthalten. Die Repositories enthalten auch Download-Links für die Fake-Apps. Diese werden auf merkwürdige URLs weitergeleitet, in denen behauptet wird, man sei ein "Verified Publisher". Um Nutzer zu motivieren, die Scammer-Programme zu installieren, gibt es dort jeweils ein Anleitungsvideo.

Nutzer sollen entweder ein (mit einem Kopieren-Knopf ausgestattetes) Terminal-Kommando samt Admin-Passwort eingeben oder die jeweilige Fake-App als DMG-Datei herunterladen und dann via Terminal installieren – ebenfalls mit Eingabe eines Admin-Passworts. Auf diese Weise können sich die Programme dann tief im System verankern und schwerwiegende Schäden anrichten und Daten abgreifen.

Derzeit ist noch unklar, was genau die Scammer mit ihren Apps tun. Analysen des Codes konnte Johnson bislang nicht vornehmen. Eine Anfrage an den macOS-Malware-Experten Patrick Wardle, ob er sich bereits mit dem Thema beschäftigt hat, blieb zunächst unbeantwortet – auf X hat er sich bis dato noch nicht zum Thema geäußert.

Nutzer sollten grundsätzlich vorsichtig sein, woher sie ihre Apps außerhalb des Mac App Store beziehen. Alle der bislang genannten Scam-Apps verfügen "in echt" über eine eigene Website, zudem ist nur VLC tatsächlich quelloffen. Spätestens bei der Aufforderung, im Terminal zu agieren und dort sein Passwort einzugeben, sollte man hellhörig werden. Wie viele Opfer der Scam bislang hatte, ist unklar.

Dies ist das Transkript der zweiten Folge des neuen Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "MalwareTech".

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK: Oh Mann Mann Mann, ich dreh durch, ich flipp aus! Nachdem ich es wirklich jahrelang versucht habe, den heutigen Gast in die Sendung zu bekommen, hat er endlich zugesagt. Ich freue mich riesig auf diese Folge. Ich hab ihm über Jahre immer wieder Nachrichten geschrieben, alle ungefähr nach dem Motto: Hey, kann ich dich interviewen? Und er hatte jedes Mal die gleiche Antwort. Er nur so: Wer bist du? Ich sagte dann so was wie: Oh, ich bin Podcaster und würde wirklich gerne deine Geschichte hören. Und er: Nein, danke. Eine gute Antwort. An seiner Stelle hätte ich auch nicht mit mir reden wollen. Dann sah ich ihn auf einer Party auf der Defcon, und als ich ihn zum ersten Mal persönlich ansprach, hat er sich hinter einem Schild versteckt, um nicht gesehen zu werden.

JACK: Oh Mann Mann Mann, ich dreh durch, ich flipp aus! Nachdem ich es wirklich jahrelang versucht habe, den heutigen Gast in die Sendung zu bekommen, hat er endlich zugesagt. Ich freue mich riesig auf diese Folge. Ich hab ihm über Jahre immer wieder Nachrichten geschrieben, alle ungefähr nach dem Motto: Hey, kann ich dich interviewen? Und er hatte jedes Mal die gleiche Antwort. Er nur so: Wer bist du? Ich sagte dann so was wie: Oh, ich bin Podcaster und würde wirklich gerne deine Geschichte hören. Und er: Nein, danke. Eine gute Antwort. An seiner Stelle hätte ich auch nicht mit mir reden wollen. Dann sah ich ihn auf einer Party auf der Defcon, und als ich ihn zum ersten Mal persönlich ansprach, hat er sich hinter einem Schild versteckt, um nicht gesehen zu werden.

MALWARETECH: Also, ich falle einfach auf in einer Menschenmenge, deshalb habe ich gelernt, dass Schilder meine besten Freunde sind. Man kann sich hinter einem Laternenpfahl verstecken, hinter einem Baum oder eben hinter einem Schild. Aber wenn ich mitten im Raum stehe, zieht das viel mehr Aufmerksamkeit auf sich, als ich vielleicht unbedingt will - obwohl ich mittlerweile an einem Punkt bin, an dem ich, glaube ich, ganz gut damit umgehen kann. Aber ich erinnere mich an unsere erste Begegnung. Ich glaube, Teil der seltsamen Situation war, dass ich einfach schlecht Gesichter erkennen kann, und du beim ersten Mal auch noch eine Maske getragen hast.

Nach Microsofts Ankündigung von kostenlosen Updates bis Oktober 2026 im Europäischen Wirtschaftsraum (EWR) zeigt nun auch Windows 10 entsprechende Hinweise – aber noch ohne die Bedingungen zu nennen. Eine durch Windows 10 sogenannte "Registrierung" für den verlängerten Supportzeitraum (ESU) ist jedoch noch nicht möglich.

Auf einem Rechner in der Redaktion von heise online fanden wir am Abend des Sonntags, den 28. September 2025, bei einer manuell angestoßenen Suche nach neuen Updates folgenden Hinweis: "Die Registrierung für erweiterte Sicherheitsupdates für Windows 10 ist in Kürze verfügbar." Ein anderer PC zeigte am darauffolgenden Montag bei gleichem Vorgehen diese Meldung nicht. Auf beiden Rechnern sind die Windows-Installationen schon länger mit einem Microsoft-Account verknüpft.

Dieser PC, eigentlich fit für Windows 11, kann auch weiter bei Windows 10 bleiben – sagt jedenfalls Windows Update.

(Bild: Screenshot / heise medien)

Diese PCs weisen mit bildschirmfüllenden Animationen vor dem Anmelden seit Wochen immer wieder auf das Support-Ende hin und empfehlen, zu Windows 11 zu wechseln. Das tritt zufällig auf, und nicht bei jedem Start. Wir haben bei diesen Maschinen weder Apps und Dokumente in die Microsoft-Cloud geladen, noch uns ums Sammeln von Microsoft-Points im Store bemüht. Beides galt bis vor Kurzem als Möglichkeit, auch nach dem offiziellen Support-Ende am 14. Oktober 2025 weiterhin kostenlose Updates für ein Jahr zu erhalten. Alternativ ist das gegen Zahlung von 30 US-Dollar möglich.

Im Zuge aktueller Attacken schieben Angreifer den Erpressungstrojaner Akira auf SonicWall-Firewalls. Dabei lassen sie sich nicht durch Multi-Faktor-Authentifizierung (MFA) aufhalten. Wie sie auf damit geschützte Systeme zugreifen können, ist bis jetzt nicht geklärt.

Sicherheitsforscher von Artic Wolf haben ihre aktuellen Kenntnisse in einem Beitrag zusammengefasst. Die Attacken laufen schon seit August dieses Jahres und sie kochen seitdem immer wieder hoch. Ansatzpunkt ist eine "kritische" Sicherheitslücke (CVE-2024-40766) in der SSL-VPN-Komponente, die die in einer Warnmeldung des Herstellers aufgelisteten Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betrifft.

SonicWall versichert, dass die Ausgaben 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 abgesichert sind. Aber offensichtlich haben Admins die Sicherheitsupdates weiterhin nicht flächendeckend installiert, sodass Angreifer nach wie vor verwundbare Instanzen entdecken.

Neben der Installation der Patches rät SonicWall dazu, Geräte außerdem mit MFA abzusichern. Zusätzlich zum Passwort benötigt man zum Einloggen noch ein One-Time-Password (OTP), das in der Regel durch eine Authenticator-App erzeugt wird. Nun führen die Sicherheitsforscher aus, dass die Angreifer Firewalls trotz aktiver MFA erfolgreich attackieren.

Zum jetzigen Zeitpunkt können sie sich nicht erklären, wie das vonstattengeht. In ihrem Bericht verweisen sie auf einen ähnlichen Vorfall, den die Google Threat Intelligence Group analysiert hat. In diesem Fall kommen sie zu dem Schluss, dass die Täter mit hoher Wahrscheinlichkeit im Besitz des Secrets sind, um selbst gültige OTPs zu erstellen.

"Neon - Money Talks" war vergangene Woche auf iPhones in den USA die viertmeistinstallierte Anwendung, noch vor Google und Whatsapp. Das lag allein am Geld: Neon zeichnet mithilfe der App initiierte Telefongespräche auf und schüttet dafür 15 US-Cent pro Minute aus. Die Aufnahmen, so der Betreiber, würden dann für Trainings Künstlicher Intelligenzen weiterverkauft, bereinigt um personenbezogene Daten. Inzwischen ist Neon offline, weil die Aufnahmen samt Transkripts und Useridentitäten allesamt frei im Netz gelandet sind.

Das ist zwar ausdrücklich kein Verstoß gegen die Vertragsbedingungen, in denen sich die Betreiberfirma Neon Mobile, Inc., unter anderem herausnimmt, alle Aufnahmen öffentlich aufzuführen, zum öffentlichen Abruf bereitzustellen und abgeleitete Werke zu erstellen. Doch es ist ein Verstoß gegen das eigene Geschäftsmodell: Betreiber großer KI-Firmen haben keine Skrupel, sich auch ohne Lizenz an fremden Werke aus dem Internet zu bedienen. Stehen die Neon-Aufnahmen frei im Netz, haben solche Leute keinen Anreiz, dafür zu bezahlen. Damit könnte Neon Mobile nicht ausschütten.

Aufgedeckt hat das Problem Techcrunch bei einem Kurztest der App. Es reichte, die App zu installieren, um Zugriff auf den gesamten Cloudspeicher aller Teilnehmer zu erlangen. Bei der Übertragung der Aufnahmen wurde offenbar deren transkribierter Text sowie die URL der Tondatei im Klartext übertragen, was jeder Nutzer der App mit einem Network-Sniffer mitlesen konnte. Wer die URL kannte, konnte mit jedem Webbrowser darauf zugreifen, ohne Passwortschutz.

Durch leichte Veränderung der Webadresse konnte Techcrunch die jüngsten Aufnahmen aller Neon-Teilnehmer abrufen. Sogar die Metadaten samt beteiligter Telefonnummern und ausgeschütteter Beträge waren frei verfügbar. Die Journalisten informierten Neon-Gründer Alex Kiam, der seine Server daraufhin offline nahm. "Wir nehmen die App vorübergehend offline, um zusätzliche Sicherheitsebenen einzuziehen", sagte er seinen Nutzern. Auf die erfolgte Preisgabe ihrer Daten und Aufnahmen wies er dabei nicht hin.

Um rechtliche Abhörverbote nicht zu verletzen, nimmt Neon laut Eigenbeschreibung nur den lokalen Ton vom Handy selbst auf, nicht den Ton des Gesprächspartners am anderen Ende der Leitung. Nur wenn beide Gesprächspartner Neon-Teilnehmer sind, erhält Neon Mobile das volle Telefonat. Weil das deutlich aussagekräftiger ist, winken dann jedem der Teilnehmer 30 Cent pro Minute.