Comretix Blog

Der russisch-niederländische Webkonzern Yandex und der amerikanische Social-Media-Platzhirsch Meta bedienten sich eines schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an Werbetreibende zu verhökern.

Ein Team von Wissenschaftlern aus den Niederlanden und Spanien fand heraus, mit welchem Trick die Konzerne ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die Konzerne machen sich verschiedene technische Möglichkeiten der Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening Ports".

Diese sind für die Kommunikation zwischen einem Client (wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver) gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet werden. Dazu benötigt diese keine besonderen Privilegien oder Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder Instagram sind betroffen) auf der Adresse localhost:12387 auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.

So schleust Meta Daten zwischen Android-App und Browser hin und her.

(Bild: A. Girish, G. Acar, et al., "Local Mess")

Connectwise hat derzeit nicht nur mit Angriffen auf Schwachstellen in seiner ScreenConnect-Fernwartungssoftware zu kämpfen. Das Unternehmen hat mitgeteilt, dass offenbar staatlich unterstützte Kriminelle in die Netze des Anbieters eingebrochen sind.

Laut der Sicherheitsmitteilung von Connectwise fand der IT-Vorfall bereits Ende Mai statt. "ConnectWise hat vor kurzem verdächtige Aktivitäten in unserer Umgebung entdeckt, von denen wir glauben, dass sie mit einem fortschrittlichen staatlichen Akteur in Verbindung stehen und die eine sehr kleine Anzahl von ScreenConnect-Kunden betreffen", schreibt das Unternehmen. Der Vorfall datiert auf den 28. Mai zurück.

Für die Untersuchung habe Connectwise die IT-Forensikexperten von Googles Tochter Mandiant eingebunden. Alle betroffenen Kunden seien informiert worden, außerdem koordiniere das Unternehmen sich mit den Strafverfolgern. Connectwise hat mit Mandiants Unterstützung erweitertes Monitoring eingerichtet und Härtungsmaßnahmen über die gesamte IT-Umgebung ergriffen.

Weitere verdächtige Aktivitäten habe Connectwise in etwaigen Kunden-Instanzen demnach nicht mehr beobachtet. Nach dem Installieren des Sicherheitsupdates von Ende April für ScreenConnect auf die Cloud-Instanzen sei dort nichts Verdächtiges mehr aufgetreten. Gemeint ist offenbar eine Lücke, die Angreifern das Einschleusen von Schadcode aufgrund einer ViewState-Code-Injection-Schwachstelle ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch").

Details zu den Angriffen und ihrer Auswirkungen sind eher dünn gesät: Bisherige Untersuchungsergebnisse deuten demnach darauf, dass der Vorfall auf ScreenConnect, und dort offenbar die Cloud-Instanzen, beschränkt war. Ob der Einbruch durch die genannte Sicherheitslücke erfolgte, kann Connectwise derzeit noch nicht sagen. Daher empfiehlt das Unternehmen, bei OnPremises-Installationen die Sicherheitsupdates aus dem April anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor laufenden Angriffen auf mehrere Sicherheitslücken in Connectwise ScreenConnect, Craft CMS und Asus-Router. Die Hersteller stellen Updates zum Schließen der Sicherheitslecks bereit – Admins sollten sie zügig installieren.

In der Warnung nennt die CISA lediglich die Schwachstellen und die Produkte, auf die Angriffe in freier Wildbahn beobachtet wurden. In der Fernwartungssoftware Connectwise ScreenConnect haben die Entwickler Ende April mit Updates eine als hochriskant eingestufte Schwachstelle ausgebessert. Bei der Sicherheitslücke handelt es sich um ViewState-Code-Injection, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch"). Ein Update auf ScreenConnect 25.2.4 oder neuer bessert den sicherheitsrelevanten Fehler aus, auf den die CISA nun Angriffe im Netz beobachtet.

In Asus-Routern der Modellreihe GT-AC2900 attackieren Kriminelle eine Sicherheitslücke, für die der Hersteller im Jahr 2021 Firmware-Aktualisierungen bereitgestellt hat (CVE-2021-32030 / EUVD-2021-18896, CVSS 9.8, Risiko "kritisch"). Auch in Asus-RT-AX55-Routern können Angreifer unbefugt Befehle einschleusen, wenn das Firmware-Update aus 2023 oder neuere nicht angewendet wurden – und machen das nun auch (CVE-2023-39780 / EUVD-2023-43480, CVSS 8.8, Risiko "hoch").

Außerdem greifen Online-Kriminelle Schwachstellen in CraftCMS an. Angreifer können durch die eine Sicherheitslücke Schadcode aus dem Netz einschleusen und ausführen (CVE-2024-56145 / EUVD-2024-3545, CVSS 9.3, Risiko "kritisch") und eine zweite, die im Zusammenspiel mit weiteren Schwachstellen das Ausführen von untergejubeltem Code ermöglicht (CVE-2025-35939 / EUVD-2025-13951, CVSS 5.3, Risiko "mittel"). Craft CMS 5.7.5 und 4.15.3 sowie neuere Fassungen bessern die Schwachstellen aus.

Die CISA nennt keine weiteren Details zu den beobachteten Angriffen. Art und Umfang ist dadurch unklar, auch Angaben zur Erkennung (erfolgreicher) Attacken fehlen. IT-Verantwortliche mit betroffenen Produkten sollten die verfügbaren Aktualisierungen jedoch so schnell wie möglich herunterladen und installieren.

Angreifer können an mehreren Softwareschwachstellen in verschiedenen Androidversionen ansetzen, um Geräte zu kompromittieren. Qualcomm berichtet von Attacken auf Geräte mit bestimmten Prozessoren. Der Patchstand ist in diesem Fall aber unklar.

In einer Warnmeldung stufen die Android-Entwickler eine Sicherheitslücke (CVE-2025-26443 "hoch") in einer nicht näher beschriebenen Systemkomponente als am gefährlichsten ein. Davon sind Smartphones und Tablets mit Android 13, 14 und 15 betroffen.

An dieser Stelle sollen Angreifer ansetzen könne, um sich höhere Nutzerrechte zu verschaffen. Das klappt der knappen Beschreibung aber nur, wenn Opfer mitspielen. Wie eine solche Attacke ablaufen könnte, ist bislang unklar.

Außerdem können im Kontext von weiteren Systemschwachstellen (etwa CVE-2025-26441 "hoch") Daten leaken. Über Lücken im Framework können Angreifer DoS-Zustände erzeugen (zum Beispiel CVE-2025-26432 "hoch").

Überdies können noch Lücken in Komponenten von Drittanbietern wie Arm und Qualcomm als Einfallstor für Angreifer dienen. Qualcomm warnt derzeit davor, dass Angreifer zwei Schwachstellen (CVE-2025-21479 "hoch", CVE-2025-21480 "hoch") ausnutzen. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt. Die Lücken betreffen die Adreno-GPU-Treiber bestimmter Prozessoren wie Snapdragon 685. Damit rechnen unter anderem diverse Xiaomi-Smartphones wie das Redmi Note 13.

In der WebPKI tut sich etwas – Sylvester und Christopher stürzen sich sofort darauf. Was der Verzicht auf "Client Authentication" für digitale Zertifikate bedeutet und ob Googles Browser Chrome hier seine Marktmacht ausnutzt, erörtern die beiden in der aktuellen Folge des Podcasts von heise security ausgiebig.

Doch auch anderen Themen widmen sich die beiden Sicherheitsexperten in der knapp zweistündigen Folge. So stellt Sylvester ein kleines Werkzeug namens oniux vor und illustriert an dessen Beispiel einige Fallstricke, die durch onion-URLs des Tor-Netzwerks und andere reservierte Domains (wie .local oder .invalid) entstehen können. Und Christopher erzählt vom Krieg gegen die Cyberkriminalität: In der Operation Endgame 2.0 haben Ermittler einige Kriminelle hochgehen lassen.

"Cyberkriminalität ist eine zunehmende Bedrohung für unsere Sicherheit", stellt Bundesinnenminister Alexander Dobrindt (CSU) am Vormittag in Berlin fest. Sie würde immer aggressiver – aber die Gegenstrategien auch immer professioneller. Mit der Digitalisierung ergäben sich immer mehr Tatgelegenheiten und Angriffsmöglichkeiten etwa auf Kritische Infrastrukturen. Mit der KI-Nutzung beim Phishing entstünden durch die vermeintliche Authentizität neue Probleme, so Dobrindt. Das genaue Ausmaß dieses neuen Problems sei aber noch nicht absehbar.

Bei Ransomware-Attacken sei hingegen ein Rückgang zu verzeichnen, was an gestärkten Gegenmaßnahmen liege, berichtet der Bundesinnenminister. Etwa die Operation Endgame 2.0 habe hier Wirkung entfaltet, weil dabei 300 Server, davon 50 in Deutschland, dem Zugriff der Täter entzogen wurden.

Deutschland würde immer stärker von Kriminellen aus dem Ausland ins Visier genommen, meint Dobrindt. Die verfolgten inzwischen nicht mehr nur kriminelle Motive, "sondern sehr stark politische Ziele", sagte der Bundesinnenminister. Es gebe auch immer wieder kombinierte Zielstellungen: Bislang als gewinnorientierte Kriminelle eingeordnete Täterorganisationen würden für staatliche Ziele angeworben oder bezahlt. Das Ziel dabei sei, sagt der Bundesinnenminister, die politische Stabilität anzugreifen.

Dass insbesondere aus dem Ausland begangene Taten eine große Rolle spielen, daran besteht kaum ein Zweifel. Bislang aber gab es wenige verlässliche Daten dazu, wie groß das Problem ist. Erstmals weist das BKA-Lagebild nun einheitlich Ursprungsorte aus: in der polizeilichen Kriminalstatistik werden nun 131.000 begangene Cybercrime-Fälle im Inland und 201.877 aus dem Ausland aufgeführt. Das spiegele die Realität dennoch "nur bedingt wider", mahnt BKA-Präsident Holger Münch. Er rechne mit einem Dunkelfeld von etwa 90 Prozent.

Insbesondere bei aus dem Ausland begangenen Taten gibt es aus Ermittlersicht ein weiteres Problem. Die Täter hielten sich in Staaten auf, in denen die Strafverfolgung unmöglich sei, wie das Beispiel Endgame 2.0 zeige, sagt Münch: "Von den 20 mit Haftbefehlen Gesuchten halten sich alle Täter derzeit in Russland auf."

Europol hat am 27. Mai dieses Jahres einen Aktionstag gegen Ausbeutung und Radikalisierung Minderjähriger durch Online-Inhalte veranstaltet. Dabei wurden mehr als 2000 Links auf dschihadistische, rechtsextremistische und terroristische Propaganda gemeldet, die sich an Minderjährige wendeten.

Die Behörde warnt schon seit einiger Zeit, dass Netzwerke der organisierten Kriminalität zunehmend Minderjährige rekrutieren. Ende April hat Europol zudem eine Taskforce eingesetzt, die Violence-as-a-service ("Gewalt als Dienstleistung") und die Rekrutierung junger Täter durch organisierte Kriminalität bekämpfen soll. "Der Schutz von Kindern vor der Rekrutierung und Ausbeutung durch kriminelle Netzwerke ist eine der wichtigsten Prioritäten", betont Europol in der Mitteilung zum Aktionstag.

Den Strafverfolgern zufolge haben die Terrororganisationen demnach neue Taktiken zur Rekrutierung von Anhängern entwickelt. Sie passen Botschaften individuell an und investierten in neue Technologien und Plattformen, um Minderjährige zu erreichen und zu manipulieren. Der Einsatz von KI, insbesondere zur Erstellung von Bildern, Texten und Videos, soll ein jüngeres Publikum ansprechen. Die Propagandisten investierten in sorgsam gestylte Inhalte, Kurzvideos und Memes, "um Minderjährige und Familien anzusprechen, die anfällig für extremistische Manipulation sein könnten". Außerdem investierten sie in Inhalte, die "spielerische Elemente mit terroristischem Audio- und Video-Material" kombinierten.

Bei einer weiteren Art von zielgerichteten Inhalten glorifizieren die Drahtzieher Minderjährige, die in terroristische Angriffe verwickelt sind. Die terroristische Propaganda richtet sich vorwiegend an männliche Jugendliche, die sie zum Beitreten in die Extremistengruppen animieren soll, indem sie Heldensagen bewirbt und sie als Krieger und Hoffnung der Gesellschaft darstellt. Weniger überraschend sprechen die Extremisten weibliche Minderjährige seltener an, wobei ihre Rolle sich im Wesentlichen auf das Aufziehen und Indoktrinieren künftiger Kämpfer "für die Sache" beschränkt.

Als weitere Manipulationstechnik nennt Europol die Opferrolle und Opfererzählung, teils bebildert mit verwundeten oder getöteten Kindern in Konfliktgebieten. Sie dient zwei Zielen: Sie führt zur emotionalen Identifizierung mit den Opfern, während sie gleichzeitig das Bedürfnis nach Vergeltung und weiterer Gewalt anheizt. An dem Aktionstag haben zahlreiche Länder teilgenommen: Albanien, Belgien, Bosnien-Herzegowina, Dänemark, Deutschland, Irland, Malta, Österreich, Portugal, Serbien, Slowenien, Spanien, Tschechische Republik, die Ukraine und das Vereinigte Königreich.

Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.

Wie aus einem Beitrag hervorgeht, haben sie die "kritische" Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.

Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der from-Parameter in URLs unter program/actions/settings/upload.php nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacken vollständig kompromittiert sind.

Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.

Dass die US-Regierung an der Cybersicherheit herumschraubt, ist seit Längerem klar. Auch Stellenstreichungen wurden bekannt. Nun legte das Heimatschutzministerium (DHS) sein Budget für das kommende Jahr vor: Fast eine halbe Milliarde Dollar soll die Cybersicherheitsbehörde CISA im Jahr 2026 einsparen.

Die Einsparungen sind spürbar: Der Etat der CISA sinkt von 2,8 auf knapp 2,4 Milliarden Dollar, somit um etwa 17 Prozent. Das sieht der Etatüberblick vor, den die Behörde dem US-Kongress präsentierte. Allein bei den Personalkosten will man über 95 Millionen US-Dollar einsparen – unter anderem durch über 1000 Stellenstreichungen. Auch externe Berater dürften künftig weniger Aufträge bei der CISA erhalten: Der Etatposten "Beratungs- und Unterstützungsdienstleistungen" sinkt um 289 Millionen auf immerhin noch 1,3 Milliarden US-Dollar.

In der Cybersicherheit streicht die CISA 186 Stellen und spart über 216 Millionen US-Dollar ein, im Bereich Infrastruktursicherheit zusätzliche zehn Stellen. Dieser Bereich erhält jedoch im Jahr 2026 eine Etat-Aufstockung um 143 Millionen Dollar und wird damit finanziell gestärkt. Das hatte Heimatschutzministerin Noem angeordnet: Man möge sich mehr auf den Schutz der Behördennetze und kritischer Infrastrukturen konzentrieren.

315 Stellen sollen durch ein freiwilliges Programm wegfallen, das CISA-Mitarbeitern mit Abfindungen, Frührente und anderen finanziellen Anreizen den Abschied versüßt. Der zweitgrößte Streichposten betrifft Stellen bei der Behörde, die gar nicht besetzt sind: Für über 300 offene Positionen fand die CISA bislang keine geeigneten Kandidaten, nun fallen sie weg. Die Behörde schreibt dazu, dies ermögliche effiziente Mittelverwendung ohne Auswirkungen auf den Betrieb.

Mehrere Abteilungen schließt die Behörde komplett. Dazu gehört das 14-köpfige Team für Wahlsicherheit – angesichts des persönlichen Kleinkriegs des US-Präsidenten gegen Ex-CISA-Chef Chris Krebs wenig überraschend. Dieser hatte Trumps Vorwürfe des Wahlbetrugs vehement bestritten und darüber seinen Job verloren. Auch eine Abteilung für Infrastruktursicherheit im Chemiesektor soll es 2026 nicht mehr geben, was jedoch bereits 2023 beschlossene Sache war und nun umgesetzt wird.

In vorinstallierten Apps insbesondere auf günstigen Smartphones von zwei Herstellern haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Die erlauben Angreifern, das Smartphone auf Werkseinstellungen zurückzusetzen, Apps mit PIN-Sperre zu belegen oder PIN-Codes unbefugt auszulesen.

Davor warnt das polnische CERT aktuell in einem Beitrag. In Smartphones der Anbieter Krüger&Matz und Ulefone sind ab Werk Apps vorinstalliert, die Sicherheitslücken aufreißen. Beide Anbieter haben sich auf billige Android-Smartphones spezialisiert, die etwa auf günstigere Prozessoren von Mediatek setzen. Krüger&Matz ist vorrangig in Polen und Rumänien aktiv.

Insgesamt drei Apps mit Schwachstellen hat das polnische CERT gemeldet. Die gravierendste findet sich in "com.pri.applock", die zur Verschlüsselung einer App mit einem PIN-Code oder biometrischen Daten dient. Jede App ohne angeforderte Rechte im Android-System kann mit System-Rechten bösartige Befehle einschleusen. Dazu ist lediglich Kenntnis der PIN nötig – die entweder von Smartphone-Nutzern angefragt oder mittels der nachfolgenden Sicherheitslücke ergattert werden können (CVE-2024-13917 / EUVD-2024-54616, CVSS 8.3, Risiko "hoch").

Durch die erreichbare Methode query() in "com.android.providers.settings.fingerprint.PriFpShareProvider" lässt sich ohne Anforderung etwaiger Android-Systemrechte der PIN-Code aus "com.pri.applock" ausschleusen (CVE-2024-13916 / EUVD-2024-54615, CVSS 6.9, Risiko "mittel"). Beide Fehler betreffen die App in Version Name 13, Version Code 33.

Schließlich bringen die Smartphones von Krüger&Matz und Ulefone die App "com.pri.factorytest" in Version Name 1.0, Version Code 1, mit. Die stellt den Dienst "com.pri.factorytest.emmc.FactoryResetService" bereit. Der ermöglicht jeder App, einen Werksreset des Geräts auszulösen (CVE-2024-13915 / EUVD-2025-16514, CVSS 6.9, Risiko "mittel").

Social Media eignet sich gut dazu, Menschen zu finden, die die gleichen Interessen, Hobbys und Erfahrungen haben wie wir selbst, zum Beispiel, wenn wir in eine neue Stadt oder ein neues Land ziehen. Gleichzeitig können wir über die sozialen Medien weiter am Leben unserer Freunde und Familie in unserer alten Heimat teilhaben. Doch leider birgt diese digitale Nähe auch viele Risiken. In Folge 2 der zweiten Staffel unseres Reportage-Podcasts Bits & Böses erzählt eine junge Frau davon, wie sich ihr Leben durch eine Begegnung im Internet für immer verändert hat.

Saras Geschichte (der Name wurde zum Schutz des Opfers von der Redaktion geändert) beginnt mit dem Wunsch, in Deutschland zu studieren. Sie kommt aus einem traditionell geprägten Land und sucht in der Corona-Zeit Anschluss über Social Media. Dabei lernt sie "Mario" kennen, einen Freund einer Freundin aus ihrer Heimat, der bereits in Deutschland lebt. Es entwickelt sich eine tiefe Freundschaft.

Mit der Zeit merkt Sara dass Mario mehr von ihr möchte als Freundschaft. Zunächst will sie ihm eine Chance geben, merkt jedoch schnell, dass sie seine Gefühle nicht erwidern kann. Doch als sie versucht, sich zu distanzieren, wird Mario eifersüchtig und kontrollierend. "Die ganze Zeit hat er versucht, mir zu zeigen, wie gefährlich Deutschland für eine Frau ist", erzählt Sara. Er redet ihr ein, dass sie allein nicht zurechtkommen wird. Als Sara neue Freunde findet und beginnt, das Studentenleben zu genießen, verschärft sich die Situation. Mario ruft sie ununterbrochen an und will wissen, wo sie ist. "Manchmal hatte ich 70 missed calls. Das war einfach krank", so Sara.

Die Situation eskaliert, als Sara für einige Wochen nach Hause fliegt und Mario bittet, sich um ihre Wohnung zu kümmern. In ihrer Abwesenheit durchsucht er ihre Sachen, findet intime Fotos und Videos von Sara mit ihrem Ex-Freund und nutzt diese für eine Cyber-Erpressung. Er gibt sich als Fremder aus und droht, die Aufnahmen an Saras Familie in ihrer Heimat zu schicken. "Er schrieb sowas wie: Du Schlampe verdienst nicht zu leben, ich mache Dein Leben kaputt", zitiert Sara die Drohungen. Er erstellt Fake-Accounts bei sozialen Medien mit ihren Fotos und Videos und kontaktiert sogar ihre Eltern direkt.

Wegen "beunruhigender Entwicklungen" bei der Benutzung von Kryptogeldautomaten hat eine für den Kampf gegen Finanzkriminalität verantwortliche australische Behörde strengere Regeln für die Geräte erlassen. Über solche speziellen Geldautomaten dürfen deshalb nun nur noch jeweils maximal 5000 Australische Dollar eingezahlt beziehungsweise abgehoben werden. Zudem müssen unter anderem Transaktionen besser überwacht und Betrugswarnungen ausgegeben werden. Einem Anbieter wurden die Geschäfte komplett untersagt. Das Australian Transaction Reports and Analysis Centre (AUSTRAC) erklärt, dass der Schritt eine Konsequenz auf Analysen einer Taskforce sei, die Betrug und illegale Aktivitäten im Zusammenhang mit den Geräten untersucht hat.

Wie die Behörde weiter erläutert, hat die Arbeitsgruppe Informationen von neun Anbietern ausgewertet, die Kryptogeldautomaten betreiben. Demnach werden diese besonders häufig von Menschen im Alter zwischen 60 und 70 Jahren benutzt. Eine große Zahl derart alter Menschen fällt Betrügereien zum Opfer. Viele werden dazu gebracht, die Geräte zu benutzen, berichtet ABC. Der Sender zitiert einen anonymen Tankstellenbetreiber, laut dem regelmäßig alte Menschen an den Geräten hantieren, die per Telefon Instruktionen bekommen. Insgesamt entfallen laut AUSTRAC 29 Prozent der an allen australischen Geräten ein- und ausgezahlten Summen auf 60- bis 70-Jährige, Menschen über 50 zahlen gar 72 Prozent der eingezahlten Gesamtsummen.

Die Zahl solcher Geldautomaten ist in Australien zwischen 2019 und 2024 von 23 auf 1200 regelrecht explodiert, schreibt AUSTRAC. Jährlich wurden darüber zuletzt fast 150.000 Transaktionen ausgeführt, bei 99 Prozent davon handelte es sich um Käufe von Kryptogeld – "vor allem Bitcoin, Tether und Ethereum". Insgesamt seien darüber etwa 275 Millionen australische Dollar bewegt worden. Für Menschen, die sich der Risiken von Kryptowährungen bewusst sind, könnten die Geräte eine bequeme Möglichkeit für Investitionen sein, erkennt AUSTRAC-Chef Brendan Thomas an, "aber ich möchte jeden warnen, der aufgefordert wird, diese Automaten zu benutzen, um Geld zu schicken". Denn ist es erst einmal weg, sei es für Behörden fast unmöglich, es zurückzuholen.

Kryptogeldautomaten gibt es auch in Deutschland, hierzulande hat der österreichische Anbieter Kurant etwa Geräte in Filialen von Saturn oder Media Markt aufgestellt. Wegen rechtlicher Vorgaben darf darüber bislang nur Kryptogeld gekauft werden, Auszahlungen sind nicht möglich. Die Daten aus Australien legen aber nahe, dass das Interesse daran ohnehin verschwindend gering wäre. Die Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, dass die Einzahlungen nicht unkompliziert sind, so ist ein Konto bei dem Anbieter nötig. Außerdem würden dort Gebühren fällig, durch die die Bitcoin & Co. letztlich teurer sein könnten als bei "seriösen Plattformen" im Internet. Kaufen sollte man nur mit Geld, "auf das man im Zweifel verzichten kann!"

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Acht Softwareschwachstellen in der Backuplösung StoreOnce von HPE machen Systeme attackierbar. Darunter findet sich eine "kritische" Lücke. Über weitere Angriffe kann Schadcode auf PCs gelangen. Eine gegen mögliche Attacken geschützte Version steht ab sofort zum Download bereit. HPE gibt an, die Lücken in Zusammenarbeit mit den Sicherheitsforschern von Trend Micros Zero Day Initiative gemeldet zu haben.

In einer Warnmeldung sind die Schwachstellen aufgelistet. Setzen Angreifer erfolgreich an der kritischen Sicherheitslücke (CVE-2025-37093) an, können sie auf einem nicht näher beschriebenen Weg die Authentifizierung umgehen.

In mehreren Fällen können Angreifer eigenen Code auf Systeme schieben und ausführen (etwa CVE-2025-3708 "hoch"). Danach erlangen sie in der Regel die volle Kontrolle über Computer. Derartige Attacken sollen aus der Ferne möglich sein. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen (CVE-2025-37095 "mittel"). Auch der manipulierende Zugriff auf Dateien ist möglich, und Angreifer sollen sogar Daten löschen können.

Um den geschilderten Attacken vorzubeugen, müssen Admins HPE StoreOnce 4.3.11 installieren. Die Entwickler geben an, dass alle vorigen Versionen verwundbar sind. Bislang gibt es keine Berichte zu laufenden Attacken. Unklar ist bislang auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Zuletzt sorgte HPE Aruba im April dieses Jahres mit mehreren Sicherheitslücken in unter anderem Access Points für Schlagzeilen. In diesem Kontext kann es ebenfalls zu Schadcode-Attacken kommen.

Außerhalb der üblichen Zeitpläne hat Google in der Nacht zum Dienstag den Webbrowser Chrome mit einem Update bedacht. Es schließt eine Sicherheitslücke, die bereits im Internet angegriffen wird.

In der Versionsankündigung schreiben Googles Entwickler, dass die neue Version drei Sicherheitslecks abdichtet. Zu einer Lücke fehlen jedwede Informationen, was darauf hindeutet, dass die Programmierer sie intern entdeckt haben.

In der Javascript-Engine V8 von Google Chrome ermöglicht eine Schwachstelle Angreifern, außerhalb vorgesehener Speichergrenzen zu lesen und zu schreiben. Für diese Schwachstelle ist ein Exploit in freier Wildbahn aufgetaucht, sie wird daher offenbar bereits attackiert. Wie die Schwachstelle aussieht, wie Angreifer sie missbrauchen oder Attacken sich erkennen lassen, erörtert Google jedoch nicht (CVE-2025-5419 / EUVD-2025-16695, CVSS nach EUVD 8.8, Risiko "hoch").

Interessantes Detail: Googles Entwickler wollen das Problem mit einer Konfigurationsänderung entschärft haben, die sie Ende Mai an die Chrome-Browser im Stable-Zweig verteilt haben. Die Aktualisierung jetzt korrigiert das Problem jedoch korrekt und umfassend im Programmcode.

Eine weitere Schwachstelle behandelt das Update ebenfalls, eine "Use-after-free"-Lücke in der Renderengine Blink des Chrome-Browsers (CVE-2025-5068 / EUVD-2025-16694, CVSS nach EUVD 8.8, Risiko laut Google "mittel", laut EUVD "hoch"). Dabei greift Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalt undefiniert ist. Häufig lassen sich derartige Fehler zum Ausführen von eingeschleustem Schadcode missbrauchen.

Beim Pwn2Own-Wettbewerb in Dublin im vergangenen Dezember haben die Teilnehmer einige Sicherheitslücken in den Lautsprechersystemen von Sonos entdeckt. Jetzt haben die Zero-Day-Initiative (ZDI) und Sonos gemeinsam Informationen zu einer weiteren Schwachstelle veröffentlicht.

In der Sicherheitsmitteilung der ZDI führen die Autoren aus, dass Angreifer aus dem Netzwerk beliebigen Code auf betroffenen Lautsprechern Sonos Era 300 ausführen können. Eine vorherige Authentifizierung ist dazu nicht nötig.

Das Problem tritt beim Verarbeiten präparierter ALAC-Daten (Apple Lossless Audio Codec) auf. Ursache ist eine unzureichende Längenprüfung von übergebenen Daten vor einem Kopiervorgang auf einem Heap-basierten Puffer. Dabei eingeschleuster Code läuft im Kontext des anacapa-Nutzerkontos (CVE-2025-1051 / EUVD-2025-16688, CVSS 8.8, Risiko "hoch").

In der Sicherheitsmitteilung erörtern die Autoren nicht, wie Angreifer derartige manipulierte ALAC-Daten dem anvisierten Sonos-System gezielt unterschieben können. Die Sicherheitslücke schließt die Player-Software Release v16.6 (Build 83.1-61240) oder neuer, die bereits seit einigen Monaten verfügbar ist. Eine eigene Meldung von Sonos steht derzeit noch aus.

Ende April hatte Sonos eine eigene Sicherheitsmitteilung zu den damals gemeinsam mit der ZDI veröffentlichten Informationen zu vier weiteren Pwn2Own-Sicherheitslücken herausgegeben. Daraus wurde klar, dass neben der Softwareversion für die Era-300-Lautsprecher auch Updates für weitere Systeme etwa aus der S1-Reihe nötig waren, da diese ebenfalls verwundbar waren. Für diese steht die Aktualisierung auf Version Release v11.15.1 (Build 57.22-61162) oder neuer bereit, die die dort genannten Schwachstellen ausbessert. Ob dies mit der nun nachgemeldeten Lücke ebenso zutrifft, ist jedoch unklar.

Microsoft und CrowdStrike haben damit begonnen, ihre jeweiligen Bezeichnungen für böswillige Cybergruppierungen untereinander abzugleichen. Erklärtes Ziel ist ein vollständiger Abgleich zwischen den Klassifikationen beider Firmen, an der sich weitere Akteure aus der IT-Sicherheitsbranche beteiligen werden. Das teilten der US-Konzern und die IT-Sicherheitsfirma jetzt mit und stellten parallel dazu das erste Ergebnis ihrer Initiative ins Netz. Daraus geht etwa hervor, dass jene Cybergruppierung, die bei CrowdStrike "Fancy Bear" heißt, von Microsoft "Forest Blizzard" genannt wird und welche weiteren Namen sie bekommen hat. Die verschiedenen Namen lassen sich auch automatisiert abrufen.

Begründet wird die Kooperation mit der Verzögerung, die durch die unterschiedlichen Namen beim Kampf gegen Cyberangriffe entstehen könne. Bei der Abwehr solcher Attacken könnten Sekunden für den Unterschied zwischen Erfolg und Misserfolg ausschlaggebend sein. Die unterschiedlichen und oft inkonsistenten Taxonomien für böswillige Cyberakteure sei ein wichtiger Grund für solch eine Verzögerung. Deshalb arbeite man jetzt daran, die Namen abzugleichen. Eine erste Version dieser Namensliste haben beide Firmen öffentlich gemacht, die IT-Sicherheitsfirmen Mandiant (von Google) und Palo Alto Networks wollen sich demnach daran beteiligen. Auf einer eigenen Seite erklärt Microsoft, wie die Namen abgerufen werden können.

Die Benennung von Cybercrime-Gruppierungen, auch Advanced Persistent Threat (APT) genannt, und staatlich gesteuerten Angreifern auf IT-Infrastruktur sorgt seit Jahren für Verwirrung. Unterschiedliche Firmen aus der Branche haben unterschiedliche Vorgehensweisen. Auch wenn die jeweils einer Logik unterliegen, haben die dabei herauskommenden Bezeichnungen nichts mit denen zu tun, die andere vergeben. So erklärt Microsoft ausführlich, wie Akteure aus bestimmten Staaten einen Namensteil bekommen, der eigentlich ein Wetterphänomen bezeichnet. Cyberakteure aus China erhalten dabei immer einen Doppelnamen inklusive "Typhoon", aus Russland solche mit "Blizzard", für den Iran ist "Sandstorm" reserviert – für Deutschland übrigens "Gale" ("Starkwind").

CrowdStrike setzt dagegen auf Tiernamen, chinesische Akteure heißen da "Panda", solche aus Russland "Bear". Hin und wieder erlangen einige dieser Namen Bekanntheit über die Branche hinaus, das gilt etwa für "Fancy Bear". Der Gruppe werden eine ganze Reihe von hochkarätigen Angriffen zugeschrieben. Bisweilen ist die Namensgebung aber auch albern, so wurde einer Gruppierung der Name "Golden Chickens" zugewiesen und der von ihr eingesetzten Backdoor der Name "More_eggs". Im Rahmen der jetzt vorgestellten Initiative von Microsoft und CrowdStrike wird sich an dem zugrunde liegenden System der Benennung nichts ändern, lediglich der Abgleich zwischen den Namen soll standardisiert werden.

Eine kriminelle Internetbande behauptet, bei Volkswagen diverse sensible Daten erbeutet zu haben. Das Unternehmen hat nach eigenen Angaben noch keine Hinweise auf unberechtigten Zugriff, will den Vorgang aber weiter prüfen.

Im Darknet behauptet StormouS/V4, bei VW Daten entwendet zu haben und droht mit deren Veröffentlichung.

(Bild: Screenshot / dmk)

Auf dem Darknet-Auftritt der Cybergang "StourmouS/V4" behaupten die Unbekannten, Nutzerkontendaten (teils versteckte E-Mails) sowie Authentifzierungstoken (OAuth und JWT-Tokens) erbeutet zu haben, darunter Identitäts- und Zugangsinformationen wie E-Mail, Profil oder Telefonnummern. Auch Log-in-Links für interne Systeme (etwa https://identity.vwgroup.io), Session-Cookies (jsessionid und weitere) sowie Authentifizierungs- und Zugriffskontroll-Details wollen die Täter erbeutet haben.

Auf der Darknet-Website zählt ein Countdown herunter und läuft zum Meldungszeitpunkt noch rund viereinhalb Tage. Danach drohen die Täter, die Daten zu veröffentlichen.

Niederländische, finnische und US-amerikanische Behörden haben gemeinsam weitere wichtige Werkzeuge der Malware-Industrie vom Netz genommen. Ihre Aktion richtete sich gegen AVCheck und zwei "Cryptor"-Sites zur Verschlüsselung von Schadsoftware.

Im stark arbeitsteiligen Malware-Ökosystem gibt es wie auch in der legalen Softwareindustrie Spezialisten für jede Aufgabe bei der Entwicklung von Schadsoftware. AVCheck diente gleichsam als "dunkles Gegenstück" zu Portalen wie VirusTotal, auf denen Administratoren und Sicherheitsforscher Malware-Dateien zur Untersuchung durch Virusscanner und Sandbox-VMs hochladen können. Während jedoch bei VirusTotal jede Datei gespeichert und somit schon einmal ein versehentlich hochgeladenes Malware-Sample identifiziert wird, konnten Malware-Autoren sich bei AVCheck auf Diskretion verlassen. Diese ließen sich die Betreiber bezahlen.

Zusätzlich zu AVcheck sind die "Cryptoren" crypt.guru und cryptor.biz ebenfalls offline. Auf diesen Domains konnten Autoren von Schadsoftware diese derart verschlüsseln lassen, dass sie für Antivirus-Software unauffindbar ist – ein weiterer Bestandteil des sogenannten "Counter Antivirus" (CAV).

Domains beschlagnahmt, Logins umgeleitet

Im Rahmen der internationalen "Operation Endgame 2.0" gingen internationale Ermittler Test-Abos bei den Malware-Dienstleistern ein und schlugen dann am 27. Mai zu. Sie stellten auch Verbindungen zu bekannten Ransomware-Gruppen fest und platzierten – wie bei derlei Aktionen üblich – Beschlagnahmungsbanner und gefälschte Login-Seiten auf den Domains der Malware-Tools.

Malware-Experte Andreas Marx ordnete die Ermittlungserfolge im Gespräch mit heise security ein: "Portale wie VirusTotal helfen bei der schnellen Identifizierung von Schädlingen und ermöglichen die Weitergabe von Wissen zu Malware. AVCheck.net hingegen diente nur dazu, die Malware und die Angriffe so zu optimieren, dass sie eben möglichst lange unentdeckt bleiben und man die infizierten PCs möglichst lange melken kann."

Beim Online-Banking der Sparkassen kam es am Sonntag des Wochenendes zu Problemen: Transaktionen ließen sich nicht ausführen, da die S-pushTAN-App Freigabeversuche lediglich mit Fehlermeldungen abwies. Das haben auch Betrüger als Chance begriffen und umgehend eine thematisch passende Phishing-Kampagne aufgesetzt.

Auf den Smartphones auch von nicht-Sparkassen-Kunden landeten bereits in der Nacht SMS mit der Nachricht: "Sparkasse: Ihre pushTAN-App läuft bald ab. Jetzt aktualisieren unter: <URL>. Vielen Dank. Ihre Sparkasse". Die angegebene URL enthält eine Browser-Weiche und führt in einem Desktop-Webbrowser ins Nichts. Auf Smartphones hingegen landen potenzielle Opfer auf einer authentisch wirkenden Webseite. Dort sollen Opfer ihre Daten eingeben, ein Download einer aktualisierten pushTAN-App findet sich dort derzeit nicht.

Auf dem Smartphone zeigt die Phishing-Seite einen echt wirkenden Nachbau einer Sparkassenseite an. Auf dem Desktop landet der Webbrowser jedoch im Nichts.

(Bild: Screenshot / dmk)

Betrugsfilter wie Safe Browsing oder der Phishing- und Malwareschutz in Firefox schlagen derzeit noch nicht an. Wer auf dieser Webseite seine Zugangsdaten eingibt, gibt sie damit an Betrüger weiter, die damit Schäden anrichten können.

Jeder unberechtigte Zugriff auf Firmennetzwerke und Systeme hinterlässt Spuren – etwa in Gestalt von Schadcode-Hashes, IP-Adressen von Angreiferservern oder Komponenten von Einbruchstools. Solche Relikte, auch Kompromittierungsindikatoren (engl. Indicators of Compromise, IoC) genannt, erfreuen sich als vielseitiges Werkzeug großer Beliebtheit bei Sicherheitsprofis. Sie helfen bei der detaillierten Beschreibung aktueller Security-Vorfälle, der Suche nach möglicherweise kompromittierten Systemen und sind darüber hinaus als Baustein zur künftigen, effektiven IT-Verteidigung nutzbar.

Bevor man IoCs sinnvoll einsetzen kann, ist jedoch meist etwas Vorarbeit nötig. Insbesondere selbst gesammelte Einbruchsspuren stecken oft zusammen mit weiteren Informationen in Logfiles verschiedenster Formate. Es gilt also erst einmal, sie zu isolieren und sicherzustellen, dass sie tatsächlich mit dem Angriffsgeschehen in Verbindung stehen. Anschließend muss man eine genauere Einschätzung der verbleibenden Kompromittierungsindikatoren vornehmen. Sie gewichten, priorisieren und zueinander in Beziehung setzen, um künftige Gefahren aufspüren, zugleich aber auch Fehlalarme minimieren zu können.

Das kostenlose Tool Cyberbro unterstützt bei diesen Arbeitsschritten. Es nimmt beliebigen Text-Input etwa aus Logs, Threat Intelligence-Feeds oder öffentlichen Sicherheitswarnungen entgegen und extrahiert potenzielle IoCs. Anschließend leitet es diese je nach Typ der Einbruchsspur gleich an mehrere externe Online-Services wie IPquery, VirusTotal, Shodan oder Phishtank weiter. Diese liefern dann zum IoC-Typ passende, öffentlich verfügbare Threat-Intelligence-Informationen zurück, die bei der Einschätzung und Gewichtung helfen. Cyberbro stellt sie zu einem übersichtlichen Report zusammen, den man in verschiedenen Formaten herunterladen und aus dem man überdies die strukturiert gespeicherten IoCs ganz einfach herauskopieren kann.

Wie gut das alles funktioniert und wie die resultierenden Reports aussehen, haben wir für Sie an ein paar Beispielen ausprobiert. Außerdem geben wir einen Überblick über die verschiedenen Nutzungsmöglichkeiten von Cyberbro – als Online-Tool, auf dem eigenen Rechner und als Browsererweiterung.