{"id":322673,"date":"2026-03-17T18:00:18","date_gmt":"2026-03-17T17:00:18","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322673"},"modified":"2026-03-17T18:03:16","modified_gmt":"2026-03-17T17:03:16","slug":"sicherheitsmeldungen-fake-vpn-clients-fake-claud-code-seiten-opfer-der-oracle-ebs-hacks-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/17\/sicherheitsmeldungen-fake-vpn-clients-fake-claud-code-seiten-opfer-der-oracle-ebs-hacks-und-mehr\/","title":{"rendered":"Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr"},"content":{"rendered":"

\"SicherheitEinige Sicherheitsmeldungen dieser Tage: Cyberkriminelle haben einen Claude Code-Fake-Seite \u00fcber Google-Anzeigen beworben und Malware f\u00fcr macOS und Windows verbreitet. Hacker manipulieren Suchergebnisse, um Nutzern Fake VPN-Anwendungen unterzujubeln, die VPN-Anmeldedaten abgreifen. Inzwischen werden immer mehr Opfer des Oracle E-Business-Hacks bekannt. Und ein chinesischer Sicherheitsanbieter hat seinen privaten SSL-Schl\u00fcssel mit der Software mitgeliefert. Eine Sammlung des t\u00e4glichen Sicherheits-Wahnsinns im IT-Bereich.<\/p>\n

Malware schaltet Fake Claude Code-Anzeigen<\/h2>\n

\"\"Der AI-Hype sorgt daf\u00fcr, dass Leute nach Claude Code als KI-L\u00f6sung suchen. Malware-Autoren machen sich dies zunutze und versuchen unbedarfte Nutzer auf gef\u00e4lschte Webseiten zu locken. Die Sicherheitsforscher von Bitdefender sind auf eine b\u00f6sartige Google-Ads-Kampagne gesto\u00dfen. Diese richtet sich an Nutzer, die nach Downloads im Zusammenhang mit \"Claude\" (das von Anthropic entwickelte Sprachmodell) suchen.<\/p>\n

\"Malware<\/a><\/p>\n

\u00dcber eine b\u00f6sartige Google Anzeige, die sich als Claude Code tarnte, wurden Interessenten auf eine Fake Claude Code-Webseite gelockt. Die\u00a0gef\u00e4lschte Website ahmte die offizielle Dokumentation von \"Claude Code\" nach. Bei Windows-Nutzern wurde dann bei Downloads eine Malware \u00fcber mshta.exe<\/em> ausgef\u00fchrt. macOS-Nutzer luden eine Mach-O-Backdoor \u00fcber verschleierte Shell-Befehle herunter. Mehr Details dazu lassen sich bei Bitdefender in diesem Artikel<\/a> nachlesen.<\/p>\n

Warnung vor Fake VPN-Anwendungen<\/h2>\n

Storm-2561 ist seit Mai 2025 aktiv und daf\u00fcr bekannt, Malware \u00fcber SEO-Poisoning zu verbreiten. Mitte Januar 2026 sind Experten von Microsoft Defender eine Kampagne dieser Gruppe gesto\u00dfen. \u00dcber SEO-Poisoning wurde versucht, Nutzer, die nach legitimer Unternehmenssoftware wie VPN-Anwendungen suchten, auf gef\u00e4lschte Webseiten umzuleiten. Dort wurden den Nutzern b\u00f6sartige ZIP-Dateien offeriert, die vorgeblich vertrauensw\u00fcrdige VPN-Clients enthielten.<\/p>\n

In Wahrheit enthielten die Downloads aber digital signierte Trojaner, die sich nach der Installation als VPN-Clients tarnten, aber im Hintergrund die VPN-Anmeldedaten der Nutzer abgriffen. Microsoft hat die Details im Beitrag\u00a0Storm-2561 uses SEO poisoning to distribute fake VPN clients for credential theft<\/a> beschrieben.<\/p>\n

Qihoo 360 leakt privaten SSL-Schl\u00fcssel mit Security Claw<\/h2>\n

Qihoo 360 ist Chinas gr\u00f6\u00dftes Cybersicherheitsunternehmen. Der Anbieter hat einen neuen \"KI-Assistenten\" mit Namen 360\u5b89\u5168\u9f99\u867e (Security Claw) ver\u00f6ffentlicht. Es handelt sich um einen Wrapper f\u00fcr OpenClaw.<\/p>\n

\"Security<\/a><\/p>\n

In obigem Tweet<\/a> weist ein Sicherheitsexperte darauf hin, dass sich im\u00a0Installationspaket ein privater SSL-Zertifikatsschl\u00fcssel f\u00fcr die Domain *.myclaw.360.cn<\/em> befand. Wer den privater SSL-Schl\u00fcssel kennt, k\u00f6nnen sich mit einem Server als 360.cn<\/em> ausgeben. So lie\u00dfe sich der Datenverkehr vom Nutzer abfangen, eine Login-Seite f\u00e4lschen, oder sogar der KI-Assistent \u00fcbernehmen.<\/p>\n

Das (nun \u00f6ffentlich bekannte) Zertifikat ist bis April 2027 g\u00fcltig und deckt jede Subdomain auf der Plattform ab. Lukasz Olejnik schreibt, dass der Gr\u00fcnder von Qihoo 360 beim Produktstart versprach, dass das Produkt \"niemals Passw\u00f6rter preisgeben\" w\u00fcrde. Sollte man sich auf der Zunge zergehen lassen: Die Plattform Qihoo 360 hat\u00a0461 Millionen Nutzer und wird mit 10 Milliarden Dollar bewertet. Und dann passiert so ein GAU, was zeigt, wie mit hei\u00dfer Nadel gestrickte Produkte im KI-Bereich ohne weitere Pr\u00fcfung rausgeschoben werden. Ein Leser hatte vor einigen Stunden im Diskussionsbereich bereits auf diesen neowin.net-Artikel<\/a> zu Thema hingewiesen.<\/p>\n

Opfer des Oracle E-Business-Hacks<\/h2>\n

In der Oracle E-Business Suite (EBS) gab es zwei kritische Schwachstellen, die Angreifern die komplette \u00dcbernahme des ERP-Systems eines Unternehmens erm\u00f6glichten. Oracle hat diese Schwachstellen im April 2019 mit Patches behoben (siehe meinen Blog-Beitrag\u00a0Risiko: Ungepatchte Oracle E-Business Suite (EBS)<\/a>).<\/p>\n

Hacker News hatte beispielsweise zum 10. Oktober 2025 hier berichtet<\/a>, dass Angriffe laufen, und Google warnte vor \"Duzenden Opfern\". Die Kollegen von Bleeping Computer berichtete zum 13. Oktober 2025 in diesem Beitrag<\/a>, dass Oracle einen Notfall-Sicherheitspatch zum Schlie\u00dfen einer Schwachstelle in der Oracle E-Business-Suite freigegeben habe.<\/p>\n

Im November 2025 gab es eine gro\u00dfe Erpressungskampagne der Cl0p-Ransomware-Gruppe. Cl0p war es gelungen, \u00fcber Zero-Day-Schwachstellen in Oracle EBS (E-Business-Systeme) einzudringen und Daten abzuziehen.\u00a0Ich hatte beispielsweise im Beitrag\u00a0Schneider Electric Opfer der Oracle E-Business Suite 0-day Schwachstelle CVE-2025-61882<\/a> \u00fcber ein Opfer berichtet. Und auch Oracle selbst soll wohl Opfer der Clop-Gruppe geworden sein (siehe\u00a0Cybervorf\u00e4lle: Asahi, Bonify, Renault & Dacia, Oracle, Salesforce<\/a>).<\/p>\n

Seit dieser Zeit gibt es eine l\u00e4nger werdende Liste an weiteren Opfern.\u00a0Madison Square Garden geh\u00f6rt wohl zu den prominenteren Opfern des\u00a0Oracle E-Business-Hacks durch die Cl0p-Ransomware-Gang, wie hier angegeben<\/a> wurde.<\/p>\n

\"Michelin<\/p>\n

Die Tage habe ich in obigem Tweet gesehen, dass Reifenhersteller Michelin sich ebenfalls in die Liste der Opfer einreihen kann. IT-Daily hat die Details in diesem Beitrag<\/a> zusammen getragen. In diesem Beitrag<\/a> wundert sich Security Week dar\u00fcber, dass\u00a0 bekannte Namen wie Broadcom, Bechtel, Est\u00e9e Lauder und Abbott Technologies (um nur einige zu nennen) noch keine Ver\u00f6ffentlichung zu einem Datenleck im Zusammenhang mit der Oracle EBS publiziert haben. Dann Daten dieser Unternehmen werden im Darknet als Beute eines Oracle EBS-Hacks angeboten.<\/p>\n

Schwedens E-Government-Plattform-Code-Leak<\/h2>\n

Und weil es gerade im Kontext passt, Dark Web Informer beschreibt in folgendem Post bzw. in diesem Artikel<\/a>, dass ein Hacker namens ByteToBreach den gesamten Quellcode der schwedischen E-Government-Plattform ver\u00f6ffentlicht hat.<\/p>\n

\"Schweden:<\/a><\/p>\n

Der Hacker behauptet, diesen \u00fcber eine stark kompromittierte Infrastruktur von CGI Sverige AB erlangt zu haben. CGI Sverige ist die schwedische Tochtergesellschaft des globalen IT-Dienstleistungsriesen CGI Group und verwaltet wichtige digitale Beh\u00f6rdendienste. Es handelt sich um denselben Akteur, der hinter dem k\u00fcrzlich bekannt gewordenen Hackerangriff auf die Viking Line steckt.<\/p>\n

Der Angreifer sagt, dass es sich um den vollst\u00e4ndigen Quellcode der E-Gov-Plattform handelt. Er\u00a0gibt auch an, dass er auch Datenbanken mit personenbezogenen Daten von B\u00fcrgern sowie Dokumente zur elektronischen Signatur abgezogen habe, diese jedoch separat verkaufe. Eine Mitarbeiterdatenbank, ein API-System zur Dokumentensignatur, RCE-Test-Endpunkte, Details zum ersten Zugriffspunkt, Jailbreak-Artefakte und Jenkins-SSH-Pivot-Anmeldedaten sind neben dem Quellcode ebenfalls in der Auflistung enthalten. Macht richtig Freude, wenn der Hacker wirklich dies behaupteten Daten besitzt.<\/p>\n

Sicherheitsvorfall bei Companies House in Gro\u00dfbritannien<\/h2>\n

Es ist mir bereits vor einigen Tagen aufgefallen – in Gro\u00dfbritannien gibt es ebenfalls ein Handelsregister (Companies House), in der Daten von britischen Firmen aufgef\u00fchrt sind. Dieses musste k\u00fcrzlich offline genommen werden, weil Benutzer nicht nur Daten einsehen, sondern auch gleich, ohne dazu berechtigt zu sein, \u00e4ndern konnten.<\/p>\n

\"House<\/a><\/p>\n

In obigem Tweet<\/a> best\u00e4tigt die betreffende Beh\u00f6rde, dass man am 13. M\u00e4rz 2026 \u00fcber diesen Sachverhalt informiert wurde. Das System muss seit einem Software-Update im Oktober 2025 in diesem Zustand, der unbefugte \u00c4nderungen erm\u00f6glichte, gewesen sein.<\/p>\n

CISA warnt vor CVE-2025-47813 in Wing FTP<\/h2>\n

Die US-Cybersicherheitsbeh\u00f6rde CISA warnt vor der Schwachstelle\u00a0CVE-2025-47813<\/a> in Wing FTP. Die Datei \u201eloginok.html\" in Wing FTP Server vor Version 7.4.4 gibt den vollst\u00e4ndigen lokalen Installationspfad der Server-Anwendung preis, wenn im UID-Cookie ein langer Wert verwendet wird. Diese Schwachstelle wird wohl inzwischen ausgenutzt, wie z.B. Bleeping Computer hier<\/a> erl\u00e4utert.<\/p>\n

Chrome-Patch und Chrome-Erweiterung mit Malware<\/h2>\n

Google hat die beliebte Chrome-Erweiterung \"Save image as Type?\" im betreffenden Store gel\u00f6scht. Der Hintergrund ist, dass in dieser Erweiterung Malware gefunden wurde. Reddit-Nutzer hatten bereits einige Zeit \u00fcber ein \"komisches Verhalten\" der Erweiterung diskutiert. Mashable hat die Details in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Der Chrome-Browser\u00a0146.0.7680.80 schlie\u00dft die Schwachstelle CVE-2026-3909, die bereits ausgenutzt wird,\u00a0wie deskmodder.de hier<\/a> berichtet.<\/p>\n

Wenn Claude Code dein Projekt l\u00f6scht …<\/h2>\n

Dass KI-L\u00f6sungen gerne mal Tabula rasa veranstalten und Leuten ihre Daten l\u00f6schen, war schon h\u00e4ufiger Gegenstand von Beitr\u00e4gen hier im Blog. Vor einer dicken Woche ist mir ein neuer Fall untergekommen, wo Claude Code beschlossen hat, mal eben die Daten eines Benutzers (Eigent\u00fcmer der Lernplattform \u00a0Datatalks.club) zu l\u00f6schen. Ein Blog-Leser hatte mich im Nachgang per Mail kontaktiert und auf diesen Artikel<\/a> hingewiesen, der die Details aufgreift. 2,5 Jahre produktiver Arbeit seien weg, hei\u00dft es.<\/p>\n","protected":false},"excerpt":{"rendered":"

Einige Sicherheitsmeldungen dieser Tage: Cyberkriminelle haben einen Claude Code-Fake-Seite \u00fcber Google-Anzeigen beworben und Malware f\u00fcr macOS und Windows verbreitet. Hacker manipulieren Suchergebnisse, um Nutzern Fake VPN-Anwendungen unterzujubeln, die VPN-Anmeldedaten abgreifen. Inzwischen werden immer mehr Opfer des Oracle E-Business-Hacks bekannt. Und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[1171,4328,3836],"class_list":["post-322673","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-cloud","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322673"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322673\/revisions"}],"predecessor-version":[{"id":322681,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322673\/revisions\/322681"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}