Einige Sicherheitsmeldungen dieser Tage: Cyberkriminelle haben einen Claude Code-Fake-Seite über Google-Anzeigen beworben und Malware für macOS und Windows verbreitet. Hacker manipulieren Suchergebnisse, um Nutzern Fake VPN-Anwendungen unterzujubeln, die VPN-Anmeldedaten abgreifen. Inzwischen werden immer mehr Opfer des Oracle E-Business-Hacks bekannt. Und ein chinesischer Sicherheitsanbieter hat seinen privaten SSL-Schlüssel mit der Software mitgeliefert. Eine Sammlung des täglichen Sicherheits-Wahnsinns im IT-Bereich.
Malware schaltet Fake Claude Code-Anzeigen
Der AI-Hype sorgt dafür, dass Leute nach Claude Code als KI-Lösung suchen. Malware-Autoren machen sich dies zunutze und versuchen unbedarfte Nutzer auf gefälschte Webseiten zu locken. Die Sicherheitsforscher von Bitdefender sind auf eine bösartige Google-Ads-Kampagne gestoßen. Diese richtet sich an Nutzer, die nach Downloads im Zusammenhang mit "Claude" (das von Anthropic entwickelte Sprachmodell) suchen.
Über eine bösartige Google Anzeige, die sich als Claude Code tarnte, wurden Interessenten auf eine Fake Claude Code-Webseite gelockt. Die gefälschte Website ahmte die offizielle Dokumentation von "Claude Code" nach. Bei Windows-Nutzern wurde dann bei Downloads eine Malware über mshta.exe ausgeführt. macOS-Nutzer luden eine Mach-O-Backdoor über verschleierte Shell-Befehle herunter. Mehr Details dazu lassen sich bei Bitdefender in diesem Artikel nachlesen.
Warnung vor Fake VPN-Anwendungen
Storm-2561 ist seit Mai 2025 aktiv und dafür bekannt, Malware über SEO-Poisoning zu verbreiten. Mitte Januar 2026 sind Experten von Microsoft Defender eine Kampagne dieser Gruppe gestoßen. Über SEO-Poisoning wurde versucht, Nutzer, die nach legitimer Unternehmenssoftware wie VPN-Anwendungen suchten, auf gefälschte Webseiten umzuleiten. Dort wurden den Nutzern bösartige ZIP-Dateien offeriert, die vorgeblich vertrauenswürdige VPN-Clients enthielten.
In Wahrheit enthielten die Downloads aber digital signierte Trojaner, die sich nach der Installation als VPN-Clients tarnten, aber im Hintergrund die VPN-Anmeldedaten der Nutzer abgriffen. Microsoft hat die Details im Beitrag Storm-2561 uses SEO poisoning to distribute fake VPN clients for credential theft beschrieben.
Qihoo 360 leakt privaten SSL-Schlüssel mit Security Claw
Qihoo 360 ist Chinas größtes Cybersicherheitsunternehmen. Der Anbieter hat einen neuen "KI-Assistenten" mit Namen 360安全龙虾 (Security Claw) veröffentlicht. Es handelt sich um einen Wrapper für OpenClaw.
In obigem Tweet weist ein Sicherheitsexperte darauf hin, dass sich im Installationspaket ein privater SSL-Zertifikatsschlüssel für die Domain *.myclaw.360.cn befand. Wer den privater SSL-Schlüssel kennt, können sich mit einem Server als 360.cn ausgeben. So ließe sich der Datenverkehr vom Nutzer abfangen, eine Login-Seite fälschen, oder sogar der KI-Assistent übernehmen.
Das (nun öffentlich bekannte) Zertifikat ist bis April 2027 gültig und deckt jede Subdomain auf der Plattform ab. Lukasz Olejnik schreibt, dass der Gründer von Qihoo 360 beim Produktstart versprach, dass das Produkt "niemals Passwörter preisgeben" würde. Sollte man sich auf der Zunge zergehen lassen: Die Plattform Qihoo 360 hat 461 Millionen Nutzer und wird mit 10 Milliarden Dollar bewertet. Und dann passiert so ein GAU, was zeigt, wie mit heißer Nadel gestrickte Produkte im KI-Bereich ohne weitere Prüfung rausgeschoben werden. Ein Leser hatte vor einigen Stunden im Diskussionsbereich bereits auf diesen neowin.net-Artikel zu Thema hingewiesen.
Opfer des Oracle E-Business-Hacks
In der Oracle E-Business Suite (EBS) gab es zwei kritische Schwachstellen, die Angreifern die komplette Übernahme des ERP-Systems eines Unternehmens ermöglichten. Oracle hat diese Schwachstellen im April 2019 mit Patches behoben (siehe meinen Blog-Beitrag Risiko: Ungepatchte Oracle E-Business Suite (EBS)).
Hacker News hatte beispielsweise zum 10. Oktober 2025 hier berichtet, dass Angriffe laufen, und Google warnte vor "Duzenden Opfern". Die Kollegen von Bleeping Computer berichtete zum 13. Oktober 2025 in diesem Beitrag, dass Oracle einen Notfall-Sicherheitspatch zum Schließen einer Schwachstelle in der Oracle E-Business-Suite freigegeben habe.
Im November 2025 gab es eine große Erpressungskampagne der Cl0p-Ransomware-Gruppe. Cl0p war es gelungen, über Zero-Day-Schwachstellen in Oracle EBS (E-Business-Systeme) einzudringen und Daten abzuziehen. Ich hatte beispielsweise im Beitrag Schneider Electric Opfer der Oracle E-Business Suite 0-day Schwachstelle CVE-2025-61882 über ein Opfer berichtet. Und auch Oracle selbst soll wohl Opfer der Clop-Gruppe geworden sein (siehe Cybervorfälle: Asahi, Bonify, Renault & Dacia, Oracle, Salesforce).
Seit dieser Zeit gibt es eine länger werdende Liste an weiteren Opfern. Madison Square Garden gehört wohl zu den prominenteren Opfern des Oracle E-Business-Hacks durch die Cl0p-Ransomware-Gang, wie hier angegeben wurde.
Die Tage habe ich in obigem Tweet gesehen, dass Reifenhersteller Michelin sich ebenfalls in die Liste der Opfer einreihen kann. IT-Daily hat die Details in diesem Beitrag zusammen getragen. In diesem Beitrag wundert sich Security Week darüber, dass bekannte Namen wie Broadcom, Bechtel, Estée Lauder und Abbott Technologies (um nur einige zu nennen) noch keine Veröffentlichung zu einem Datenleck im Zusammenhang mit der Oracle EBS publiziert haben. Dann Daten dieser Unternehmen werden im Darknet als Beute eines Oracle EBS-Hacks angeboten.
Schwedens E-Government-Plattform-Code-Leak
Und weil es gerade im Kontext passt, Dark Web Informer beschreibt in folgendem Post bzw. in diesem Artikel, dass ein Hacker namens ByteToBreach den gesamten Quellcode der schwedischen E-Government-Plattform veröffentlicht hat.
Der Hacker behauptet, diesen über eine stark kompromittierte Infrastruktur von CGI Sverige AB erlangt zu haben. CGI Sverige ist die schwedische Tochtergesellschaft des globalen IT-Dienstleistungsriesen CGI Group und verwaltet wichtige digitale Behördendienste. Es handelt sich um denselben Akteur, der hinter dem kürzlich bekannt gewordenen Hackerangriff auf die Viking Line steckt.
Der Angreifer sagt, dass es sich um den vollständigen Quellcode der E-Gov-Plattform handelt. Er gibt auch an, dass er auch Datenbanken mit personenbezogenen Daten von Bürgern sowie Dokumente zur elektronischen Signatur abgezogen habe, diese jedoch separat verkaufe. Eine Mitarbeiterdatenbank, ein API-System zur Dokumentensignatur, RCE-Test-Endpunkte, Details zum ersten Zugriffspunkt, Jailbreak-Artefakte und Jenkins-SSH-Pivot-Anmeldedaten sind neben dem Quellcode ebenfalls in der Auflistung enthalten. Macht richtig Freude, wenn der Hacker wirklich dies behaupteten Daten besitzt.
Sicherheitsvorfall bei Companies House in Großbritannien
Es ist mir bereits vor einigen Tagen aufgefallen – in Großbritannien gibt es ebenfalls ein Handelsregister (Companies House), in der Daten von britischen Firmen aufgeführt sind. Dieses musste kürzlich offline genommen werden, weil Benutzer nicht nur Daten einsehen, sondern auch gleich, ohne dazu berechtigt zu sein, ändern konnten.
In obigem Tweet bestätigt die betreffende Behörde, dass man am 13. März 2026 über diesen Sachverhalt informiert wurde. Das System muss seit einem Software-Update im Oktober 2025 in diesem Zustand, der unbefugte Änderungen ermöglichte, gewesen sein.
CISA warnt vor CVE-2025-47813 in Wing FTP
Die US-Cybersicherheitsbehörde CISA warnt vor der Schwachstelle CVE-2025-47813 in Wing FTP. Die Datei „loginok.html" in Wing FTP Server vor Version 7.4.4 gibt den vollständigen lokalen Installationspfad der Server-Anwendung preis, wenn im UID-Cookie ein langer Wert verwendet wird. Diese Schwachstelle wird wohl inzwischen ausgenutzt, wie z.B. Bleeping Computer hier erläutert.
Chrome-Patch und Chrome-Erweiterung mit Malware
Google hat die beliebte Chrome-Erweiterung "Save image as Type?" im betreffenden Store gelöscht. Der Hintergrund ist, dass in dieser Erweiterung Malware gefunden wurde. Reddit-Nutzer hatten bereits einige Zeit über ein "komisches Verhalten" der Erweiterung diskutiert. Mashable hat die Details in diesem Artikel aufgegriffen.
Der Chrome-Browser 146.0.7680.80 schließt die Schwachstelle CVE-2026-3909, die bereits ausgenutzt wird, wie deskmodder.de hier berichtet.
Wenn Claude Code dein Projekt löscht …
Dass KI-Lösungen gerne mal Tabula rasa veranstalten und Leuten ihre Daten löschen, war schon häufiger Gegenstand von Beiträgen hier im Blog. Vor einer dicken Woche ist mir ein neuer Fall untergekommen, wo Claude Code beschlossen hat, mal eben die Daten eines Benutzers (Eigentümer der Lernplattform Datatalks.club) zu löschen. Ein Blog-Leser hatte mich im Nachgang per Mail kontaktiert und auf diesen Artikel hingewiesen, der die Details aufgreift. 2,5 Jahre produktiver Arbeit seien weg, heißt es.
MVP: 2013 – 2016
Wow, da kann man wirklich nur mit dem Kopf schütteln, wie fahrlässig die Firmen mit ihren Daten umgehen.
Oracle EBS seit 2019 nicht gepatcht?
Da müssen sich die Firmen nicht wundern, das die gehackt wurden.
Und Oracles EBS wird wohl nur von größeren Firmen benutzt und die sollten eigentlich eine vernünftige IT haben.
Anscheinend hat es sich da noch nicht herumgesprochen, das zeitnahes Patchen zu den Basics der Cybersicherheit gehört.
Und Quellcode abgegriffen?
Das ist doch das, was viele Leute immer wollen: OpenSource!
Und das bekannte Namen wie Broadcom, Bechtel, Estée Lauder und Abbott Technologies noch keine Veröffentlichungen zu einem Datenleck gemacht haben, liegt evtl. daran, das die das Datenleck noch nicht bemerkt haben.
Ich hätte hier noch Phishingmails als getarnte EDEKA Geschenk Gutscheine ein bewilligter Online Kredit oder Darlehn der an die Massen an SMAVA Spammails anlehnt unglaublich perfekt gemacht, ist ja kein Problem es gibt genügend vorlagen von SMAVA selbst und natürlicher eine Sicherheitswarnmeldung aus meiner Cloud das meine Cloud-Daten sind unmittelbar vom Löschen bedroht sind.
Ich hab bloß keine Cloud, für die ich Geld bezahle und keine Daten darin.
Jeder genau wie er es verdient… mehr gibts dazu nicht zu sagen. Wer Patches die schon jahrelang existieren nicht aufspielt, verdient den Schaden,am besten gleich potenziert!
Ebenso wer Software anstatt direkt beim Hersteller von dubiosen Seiten lädt…ob über googel beworben oder nicht spielt dabei keine Rolle!
Phishing Opfer zu werden lässt sich mit einfachen Regeln zu 100% ausschalten.
Tja wer nicht lernen will, lernt eben über Schmerzen!
@Red++ und nen ordentlicher Spamfilter filtert den Schice direkt aus. ;-P
Zu Gesicht bekomm ich da nix von, aber immer wieder belustigend ab und zu mal in den Spamfilter zu schaun: Klassiker sind auch die ganzen Mails meiner "angeblichen Banken" wo was mit den Konto nicht stimmt… alles Banken bei denen ich nicht mal nen Konto habe.
Phisher sind so dumm!
Die Sachen können noch so echt aussehen:
Man weiss doch, was man an Zugängen hat, was man bestellt hat etc.
Und kein Dienst wird jemals nach den Zugangsdaten fragen.
Spamfilter ist Pflicht und was trotzdem noch durchgeht, filtert zuverlässig Brain.exe heraus.
Brain.exe aller Mitarbeiter ist entsprechend geschult und trainiert.
Die Phishing-Mails sind ja auch nicht für diejenigen gemacht, die sich auskennen, sondern für den anderen Anteil an Menschen, den eher leichtgläubigen Teil. Und leichtgläubige Menschen gab es schon immer. Es sind vermutlich auch nicht mehr geworden, sondern sie sind, nein, lassen sich in aktiver Mitarbeit heutzutage einfach leichter erreichen…
Übrigens, magst Du eine Brücke kaufen? Ich hätte da eine schöne, lange, große… ;)
Inhaltlich stimme ich dir sogar zu.
Aber dein Tonfall mal wieder…. entweder Boomer, der cool rüberkommen will oder Teenie mit ähnlichem Ziel. Egal, was du bist, peinlicher geht immer, was?
Selbst inhaltlich gehe ich mit Luzifer und Folgekommentaren nicht ganz mit.
* Zu Patches: Im Idealfall ist alles richtig – Hersteller bietet Patch, es kommt eine Update-Benachrichtigung und alles, was der Anwender tun muss, ist die Installation zuzulassen. Was ist aber mit den Fällen, wo nie ein Update oder die Information dazu ankam? Was ist mit den Fällen, wo ein Update nicht installierbar war oder wegen dicker Fehler nicht installiert werden konnte, und diese Probleme nie korrigiert wurde, sowie Folgeupdates nicht die initiale Lücke geschlossen habe. Und erzähle mir niemand, dass jeder alle 100 Software-Komponenten diesbezüglich auf dem Radar hat.
Zum Phishing: Ich kann nur so viel dazu sagen, dass ich selbst einmal Phishing-Opfer mit einem E-Mail-Account geworden bin (viel Stress, gerade eine Fehlfunktion beim E-Mail-Server/Provider, und dann eine Stunde später eine Mail, die genau zu passen schien). Hab nicht nachgedacht und die Zugangsdaten eingetippt – es glücklicherweise binnen 10 Minuten gemerkt und dies korrigiert. Es kam noch genau eine Phishing-Mail dieser Art, dann nie wieder – was Fragen aufwirft, wieso die 1. Mail so passgenau sein konnte … aber seit dem Tag setze ich mich nie wieder auf den Stuhl "Phishing-Opfer, wie kann man so doof sein, selbst schuld, das muss noch mehr weh tun" …
Zweites Erlebnis: Gerade eine Stippvisite für 2 Tage auf Booking.com gebucht. Die sind so verstrahlt, dass die eine Kreditkarte wollen, auch wenn Du beim Hotel vor Ort zahlst. Habe ich nicht, EC-Karte wird nicht akzeptiert. Aber die akzeptieren Paypal als "Sicherheit". Doof nur, dass die diese Option technisch nicht gebacken bekommen. Am Belastungstag habe ich eine Mail bekommen "Paypal konnte nicht belastet werden". Alles gecheckt – Deckung ist auf meinem Bankkonto reichlich, Paypal darf abbuchen, alles im grünen Bereich. Aber Booking kann nicht zugreifen. Ohne Zahlung wird die Buchung storniert. Die Woche habe ich dann mitten in der Nacht die Paypal-Zahlung nochmals angestoßen und alles lief erwartungsgemäß durch. Vor einem Jahr ist mir wegen des gleichen PayPal-Fehlers eine Reise storniert worden. Wer von den "normalen Leuten" weiß a) dass es bei Booking.com reichlich Betrug gab, b) dass oben skizzierter Fall auftreten kann und c) kann dann im Zweifel noch genau sagen, ob eine Mail Phishing ist, oder doch von Booking.com kommt und legitim ist? Es gab Fälle, wo Booking.com-Zugänge kompromittiert waren. Ich konnte es im aktuellen Fall aufdröseln, weil ich a) das Problem aus dem vorherigen Fall kannte und inzwischen auch weiß, auf welche booking.com Sicherheitsmechanismen ich achten muss. Aber Du kannst dir nie sicher sein, dass nicht doch eine neue Masche ausprobiert wird, wo Du irgend etwas nicht bedacht hast. Und die AI-Bots als "Hilfestellung" auf solchen Plattformen machen es noch schlimmer. Hatte doch vor einigen Tagen den Fall hier im Blog, wo eine Buchungsplattform mutmaßlich gehackt ist und die Betrugsnachrichten nur mit viel Misstrauen und direktem Anruf beim Hotel identifiziert und der Betrug (abfischen von Daten) vereitelt werden konnte.
Voriges Jahr habe ich eine Woche Urlaub über eine andere Plattform gebucht. Da kriegst Du die Kontoverbindung, wo der Buchungsbetrag zu überweisen ist, vom Vermieter per E-Mail. Genau zu der Plattform hatte ich einen Betrugsfall im Blog. Wie weißt und verifizierst Du, dass eine solche Mail kein Scam ist? Ich habe die Bankverbindung mit einer kurzen Hintergrundrecherche sowie einer SMS mit möglichst wenig Infos an den Vermieter verifiziert. Aber welche normale Mensch weiß, kann und macht das?
Wir haben genügend Prozesse, die schlicht kaputt sind – und billiges Viktim-Blaming mag das eigene Ego streicheln, hilft aber der Allgemeinheit und den Opfern nicht weiter. Es wird im Leben immer Situationen geben, wo Du intellektuell in dem Moment überfordert wirst und auf einen Betrug rein fällst (hab selbst den Fall in Erinnerung, wo ich nach meinem schweren Sportunfall nach 9 Wochen Klinik+Reha per Taxi nach Hause gebracht wurde, und vom Fahrer beschissen wurde – waren zwar nur 10 Euro, und mir ging durch den Kopf "hallo, da musst Du nach einer Quittung fragen", aber ich war dazu schlicht nicht in der Lage, weil ich nichts gebacken bekam). Daher wäre meine Bitte, das einfach im Hinterkopf zu behalten und nicht "das hohe Ross" raushängen zu lassen. Das hilft Betroffenen und den Mitlesern genau Null weiter. Danke für die Berücksichtigung – ich werde zukünftig diesbezüglich solche Kommentare auch wieder einfach löschen.
"[…] und billiges Viktim-Blaming mag das eigene Ego streicheln, hilft aber der Allgemeinheit und den Opfern nicht weiter."
Man mag ja über die Wortwahl streiten können, aber im Grunde sollte doch noch viel mehr an das Selbstverantwortlichkeitsbewußtsein von Anwendern/Nutzern appeliert werden – überall!
Es ist eben ein Unterschied, ob durch eine emotionsgetriebene Unkontrolliertheit oder durch bloße leider oftmals durch Bequemlichkeit und Faulheit getriebene Unwissenheit in Verbindung mit vertrauensseliger Naivität agiert wird. 🤷♂️
Jein… Natürlich sollten Nutzer keine Fehler machen, aber das eigentliche Problem sind nicht die Nutzer sondern die Prozesse, Betriebssysteme usw die es Kriminellen viel zu einfach machen
Ja, auch – und das ist eben das Entscheidende und entlässt – zumind. m. Mg. n. – die Nutzer nicht aus ihrer Verantwortlichkeit zur Sorgsamkeitspflicht, was ja auch in allen anderen Lebensbereichen ebenso zutrifft.
Und natürlich wird es niemals mit absoluter Sicherheit Fehler verhindern, weil da eben Menschen beteiligt sind, aber es könnte wenigstens präventiv die Wahrscheinlichkeit schonmal von einer Beteiligungsseite so weit als möglich verringern.
Das ist auch ein unnötiges Risiko:
"Paypal darf abbuchen"
Paypal braucht kein Lastschriftmandat für das Bankkonto, sondern man kann direkt vom Paypal-Konto bezahlen. Auf letzterem muss natürlich Geld vorhanden sein, welches man vom Bankkonto dorthin verschieben kann.
Ich gebe ja explizit eine Transaktion frei. Ist die Transaktion auf "Sofort belasten" gesetzt, klappt alles. Wird die angebotene Option "in x Tagen belasten" gewählt, scheitert das Ganze, trotz Bestätigung der Transaktion. Wenn mir so etwas angeboten wird, muss das imho auch funktionieren, sonst ist es witzlos.
Ähm, da hab' aber bspw. ich mit dem zeitversetzten Zahlen auch schon anderweitige Erfahrungen gehabt – nicht immer, aber doch auch schon erfolgreich. 🤷♂️
Ich sags mal so: nix tun was du an der Haustür nicht auch machen würdest! Trifft es sehr genau!
Einfache Regel: Man gibt keine Daten ein aus ner Mail raus, nem Messanger raus. Basta! Wenn da was reinflattert und man unsicher ist geht man direkt auf die Accounseite (nicht per Klick auf irgendnem Link in ner Mail Messanger etc.) Hilft zu 100% auch Nachts um eins wenn man aus dem Schlaf gerissen wird!
Auch hilfreich nicht immer sofort reagieren, erts mal ruhen lassen und in Ruhe nachdenken! Nix ist so wichtig das es immer sofort erledigt werden muss!
Und wenn etwas schief läuft oder verdächtig scheint, greift man eben mal kurz zum Telefonhörer und frägt nach… aber direkt aus dem Account raus und nicht ne dubiosen Mail.
Das ist lediglich ne Frage der Diziplin! Und das darf man zurecht von jedem erwarten der sein Kopf nicht nur als Regenschutz für den Hals trägt.
Einfache Regeln die jeder verinnerlichen und ausführen kann, die einem vor Schaden bewahren. Ist keine Atomphysik!
Seit Akkustikkoppler "online!" und nie ein einziger Schadensfall auf meiner Seite geben mir recht!
Firrmen die meine Daten sich klauen haben lassen gabs dagegen schon.