Mai 2026 mehrere bedeutende Entwicklungen in der Bedrohungslandschaft gemeldet. Von einer raffinierten Schadsoftware-Variante bis zur Zerschlagung eines Botnetzes – die Angreifer setzen zunehmend auf legitime Systemprozesse und Lieferketten-Schwachstellen.
PureLogs: Schadsoftware tarnt sich als Windows-Prozess
Die Sicherheitsexperten von Fortinet FortiGuard Labs haben eine neue Variante des PureLogs-Infostealers identifiziert. Die Malware nutzt eine Technik namens Process Hollowing, um der Erkennung zu entgehen. Der Angriff beginnt mit Phishing-E-Mails, die als Bestellbestätigungen getarnt sind und eine verschleierte JavaScript-Datei enthalten.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Ratgeber herunterladen
Wird diese Datei ausgeführt, löst sie einen PowerShell-Befehl aus, der ein .NET-Modul direkt in den Arbeitsspeicher lädt. Der Schadsoftware-Downloader missbraucht das legitime Windows-Tool MsBuild.exe, um den schädlichen Code in einem vertrauenswürdigen Prozess zu verstecken. Herkömmliche Sicherheitssoftware hat damit große Probleme, die Malware zu identifizieren.
Die Schadsoftware ist darauf ausgelegt, Daten aus über 80 verschiedenen Webbrowsern sowie aus Kryptowährungs-Wallets wie Exodus, Electrum und Atomic Wallet zu stehlen. Auch E-Mail-, FTP- und VPN-Clients sind betroffen. Die gestohlenen Daten werden verschlüsselt und per HTTPS an einen Kommando-Server übertragen.
Glassworm-Botnetz zerschlagen
In einer koordinierten Aktion haben CrowdStrike, Google und die Shadowserver Foundation die Infrastruktur des Glassworm-Botnetzes zerstört. Seit Anfang 2025 hatte das Botnetz gezielt Softwareentwickler ins Visier genommen. Die Angreifer verteilten schädliche Inhalte über kompromittierte VSCode-Erweiterungen, npm- und PyPI-Pakete sowie über 300 gekaperte GitHub-Repositories.
Besonders raffiniert: Das Kommando-Netzwerk nutzte die Solana-Blockchain, das BitTorrent-DHT und sogar Google Kalender, um die Kontrolle über die infizierten Systeme zu behalten. Nach der Zerschlagung wurde der Datenverkehr auf eine Sinkhole-IP-Adresse umgeleitet, um weitere Infektionen zu verhindern.
Lieferketten-Risiken und KI-generierte Malware
Forscher haben Ende Mai 2026 zudem die „Zapocalypse“-Angriffskette offengelegt – eine Reihe von Schwachstellen in der Plattform Zapier, die eine vollständige Kontenübernahme ermöglicht hätten. Durch Ausnutzung der „Code by Zapier“-Funktion konnten die Forscher Anmeldedaten aus dem Arbeitsspeicher wiederherstellen. Die Schwachstellen wurden zwar bereits Anfang März geschlossen, doch die Veröffentlichung zeigt, wie durchgesickerte Tokens in Container-Metadaten plattformweite Angriffe auf die Lieferkette ermöglichen.
Gleichzeitig entdeckte OX Security am 28. Mai ein bösartiges npm-Paket namens „mouse5212-super-formatter“. Das Paket gibt vor, ein Archiv-Synchronisationswerkzeug zu sein – tatsächlich stiehlt es lokale Dateien. Der GitHub-Token des Angreifers war direkt im Skript eingebettet, was zur Löschung des Kontos führte, kurz nachdem die Malware hochgeladen wurde.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket für Unternehmen jetzt gratis sichern
FBI warnt vor physischem Datendiebstahl
Das FBI hat am 28. Mai 2026 eine Arbeitung zur Silent Ransom Group (auch bekannt als Luna Moth oder Chatty Spider) herausgegeben. Die Gruppe hat seit 2022 gezielt US-amerikanische Anwaltskanzleien angegriffen, vor allem durch Social Engineering.
Anders als typische Erpresserbanden verschlüsselt diese Gruppe keine Daten. Stattdessen setzt sie auf reine Erpressung, indem sie mit der Veröffentlichung gestohlener Dokumente droht. Das FBI betont: Wenn Fernzugriffe scheitern, reisen Mitglieder der Gruppe persönlich zu den Kanzleien, geben sich als IT-Support aus und stehlen Daten direkt über USB-Sticks.
Kritische Sicherheitslücken in SharePoint und Gitea
Auch Softwarehersteller haben Ende Mai auf kritische Schwachstellen reagiert. Microsoft veröffentlichte ein Update für eine hochriskante SharePoint-Sicherheitslücke (CVE-2026-45659), die es authentifizierten Angreifern ermöglicht, Code durch die Deserialisierung nicht vertrauenswürdiger Daten auszuführen.
Zudem wurde eine kritische Schwachstelle in der Gitea-Container-Registry (CVE-2026-27771) bekannt. Der Fehler erlaubt es nicht authentifizierten Angreifern, auf private Container-Images zuzugreifen. Sicherheitsexperten fordern Administratoren auf, sofort zu aktualisieren – über 31.000 internetfähige Installationen könnten betroffen sein.
