Die Täter nutzen eine kritische Sicherheitslücke im Content-Management-System Ghost aus.
Die Angreifer setzen auf die „ClickFix“-Malware-Kampagne. Sie nutzen die Schwachstelle CVE-2026-26980 aus – eine SQL-Injection-Lücke in Ghost-CMS der Versionen 3.24.0 bis 6.19.0. Damit entwenden sie Admin-API-Keys und injizieren bösartigen JavaScript-Code in die betroffenen Seiten.
Angesichts immer raffinierterer Cyberangriffe auf Unternehmen ist ein proaktiver Schutz der IT-Infrastruktur wichtiger denn je. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen schützen
Gefälschte Cloudflare-Maske trickst Besucher aus
Besucher infizierter Websites sehen eine täuschend echte Einblendung. Sie gibt vor, vom Sicherheitsdienstleister Cloudflare zu stammen und fordert zur Verifizierung auf. Hinter der Maske steckt eine Aufforderung, einen Windows-Befehl auszuführen – mit fatalen Folgen: Wer den Befehl kopiert und ausführt, installiert Malware im Hintergrund.
Die Sicherheitsforscher von Malwarebytes raten dringend zum Update auf die neueste Ghost-Version. Nur so lässt sich die Lücke schließen und der Missbrauch der Plattformen stoppen.
Kali365: Phishing-as-a-Service für jedermann
Parallel dazu warnt das FBI vor der Plattform „Kali365“. Der Dienst wird seit April über Telegram vertrieben und folgt dem „Phishing-as-a-Service“-Modell. Er ermöglicht auch technisch Laien komplexe Angriffe auf Microsoft-365-Konten.
Das Besondere: Kali365 missbraucht den OAuth-Device-Code-Flow von Microsoft. Damit umgehen die Täter die Multifaktor-Authentifizierung (MFA). Einmal im System, greifen sie auf Mailboxen und Unternehmensdaten zu. Die Abos sind modular aufgebaut: Zwischen 230 Euro für 30 Tage und 1.850 Euro für eine Jahreslizenz ist alles dabei.
KI-gestützte Vorlagen in 14 Sprachen erhöhen die Reichweite massiv. Betroffen sind laut FBI Hunderte Organisationen in Nordamerika und Europa – vor allem aus Fertigung, Gesundheitswesen und Bildung.
Banking-Trojaner auf dem Vormarsch
Die Lage bei mobilen Endgeräten verschärft sich drastisch. Im ersten Quartal 2026 stieg die Zahl der Banking-Trojaner um 196 Prozent auf 1,24 Millionen Fälle. Ein Beispiel: Die „Trapdoor“-Kampagne tarnte 455 Android-Apps als harmlose PDF-Reader. Über 24 Millionen Mal wurden sie heruntergeladen.
In Indien verbreitet sich die „Cockroach Janta Party“-Malware über WhatsApp und Telegram. Sie greift Passwörter, SMS und Bankdaten direkt vom Smartphone ab.
Banking, WhatsApp und Online-Shopping – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Android-Smartphone, was es zum Hauptziel für Kriminelle macht. Ein gratis PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Gerät sofort gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber für Android herunterladen
Apple reagierte mit iOS 26.4.1: Seit dem 24. Mai ist der „Stolen Device Protection“-Modus standardmäßig aktiv. Er verlangt Face ID oder Touch ID für sensible Aktionen und erzwingt eine Sicherheitsverzögerung an unbekannten Orten.
Composite Breaches und Infrastruktur-Lücken
Ein mutmaßlicher Mega-Leak bei OnlyFans mit 340 Millionen Datensätzen zeigt den Trend zu „Composite Breaches“. Hacker kombinieren alte Leaks mit neuen Daten, um detaillierte Opferprofile zu erstellen.
Auch die Server-Infrastruktur bleibt verwundbar. Eine Heap-Buffer-Overflow-Lücke im NGINX-Rewrite-Modul (CVE-2026-9256) ermöglicht Denial-of-Service-Angriffe. Das KnowledgeDeliver Learning Management System wurde durch einen Zero-Day-Exploit (CVE-2026-5426) kompromittiert.
Im Kryptobereich erbeuteten Betrüger durch gefälschte Google-Anzeigen über 400.000 US-dollar. Die Security Alliance (SEAL) meldete 356 gesperrte schädliche URLs mit einem Gesamtschaden von 1,27 Millionen US-Dollar.
KI-generierte Exploits: Die nächste Eskalationsstufe
Google Threat Intelligence entdeckte erste mutmaßlich KI-generierte Zero-Day-Exploits gegen Web-Admin-Tools. Staatlich gestützte Akteure wie APT27 oder APT45 setzen verstärkt auf automatisierte Code-Generierung.
Apple plant für iOS 27 einen erweiterten Privat-Modus und automatische Chat-Löschungen. Microsoft und Google bauen ihre Schutzprogramme aus. Doch Experten warnen: Technische Maßnahmen allein reichen nicht. Der Faktor Mensch bleibt das schwächste Glied – wie der Fall einer Kölnerin zeigt, die durch eine gefälschte Park-App mehrere Hundert Euro verlor.
