End-of-Day report
Timeframe: Dienstag 04-11-2025 18:00 - Mittwoch 05-11-2025 18:00
Handler: Alexander Riepl
Co-Handler: Felician Fuchs
News
Aktuelle Phishingwelle im Namen von FinanzOnline
Aktuell erreichen uns vermehrt Meldungen über Phishing-Kampagnen im Namen des österreichischen FInanzministeriums. Während eine Welle an Mails versucht Nutzer:innen mit einer gefälschten Mehrwertsteuer-Rückerstattung in die Falle zu locken warnen SMS-Nachrichten vor einem angeblich abgelaufenen FinanzOnline-Zugang. Auch Watchlist Internet berichtet bereits über diese Angriffe.
https://www.cert.at/de/aktuelles/2025/11/aktuelle-phishingwelle-im-namen-von-finanzonline
Malicious Android apps on Google Play downloaded 42 million times
Hundreds of malicious Android apps on Google Play were downloaded more than 40 million times between June 2024 and May 2025, notes a report from cloud security company Zscaler.
https://www.bleepingcomputer.com/news/security/malicious-android-apps-on-google-play-downloaded-42-million-times/
Sicherheitsupdates: Windows 10 verwirrt Nutzer mit Anzeigefehler zum Supportende
Einige Windows-10-Systeme zeigen trotz bestehendem Support oder ESU-Lizenz an, nicht mehr unterstützt zu werden. Laut Microsoft ist das ein Bug.
https://www.golem.de/news/sicherheitsupdates-windows-10-verwirrt-nutzer-mit-anzeigefehler-zum-supportende-2511-201844.html
Google Uncovers PROMPTFLUX Malware That Uses Gemini AI to Rewrite Its Code Hourly
Google on Wednesday said it discovered an unknown threat actor using an experimental Visual Basic Script (VB Script) malware dubbed PROMPTFLUX that interacts with its Gemini artificial intelligence (AI) model API to write its own source code for improved obfuscation and evasion.
https://thehackernews.com/2025/11/google-uncovers-promptflux-malware-that.html
Microsoft gibt Tipps für erweiterten Support für kommerzielles Windows 10
Inzwischen sollte es sattsam bekannt sein: Microsoft hat den Support für Windows 10 offiziell zum 14. Oktober 2025 eingestellt. Privatnutzer in der EU bekommen nach langem Hin und Her ein Jahr kostenlos erweiterten Support (Extended Security Updates, ESU), wenn sie sich dafür anmelden.
https://www.heise.de/news/Microsoft-gibt-Tipps-fuer-erweiterten-Support-fuer-kommerzielles-Windows-10-11057081.html
Ransomware: Apache OpenOffice bestreitet Cyber-Attacke
Bei der Apache Software Foundation soll es im Kontext von OpenOffice zu einer Cyberattacke gekommen sein, bei der Kriminelle interne Daten kopiert haben. Das gibt zumindest die Ransomwarebande Akira auf ihrer Website an. Nun schaltet sich Apache ein und dementiert eine Attacke.
https://www.heise.de/news/Cybercrime-Apache-OpenOffice-dementiert-Ransomware-Attacke-11061654.html
Nein, Europol & Interpol haben kein Ermittlungsverfahren eingeleitet!
Sie zählt zu den Klassikern des Online-Betrugs: Eine E-Mail, die über ein kürzlich eröffnetes Ermittlungsverfahren von Europol und/oder Interpol informiert. Es geht um schwere Anschuldigungen, alle relevanten Informationen finden sich in einem angehängten Dokument. Von derartigen Nachrichten gehen zwei Gefahren gleichzeitig aus!
https://www.watchlist-internet.at/news/europol-interpol-ermittlungsverfahren/
9 arrested in Europe in operation against fake platforms for crypto investments
A multinational operation in late October targeted a network that -created dozens of fake cryptocurrency investment platforms that looked like legitimate websites and promised high returns,- but simply took the money and laundered it, Eurojust said.
https://therecord.media/9-arrested-europe-crypto-platform-takedown
Norton Crack Midnight Ransomware, Release Free Decryptor
Norton finds a flaw in the new Midnight ransomware built from Babuk code and releases a free decryptor to help victims recover files without paying a ransom.
https://hackread.com/norton-midnight-ransomware-free-decryptor/
GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools
Based on recent analysis of the broader threat landscape, Google Threat Intelligence Group (GTIG) has identified a shift that occurred within the last year: adversaries are no longer leveraging artificial intelligence (AI) just for productivity gains, they are deploying novel AI-enabled malware in active operations. This marks a new operational phase of AI abuse, involving tools that dynamically alter behavior mid-execution.
https://cloud.google.com/blog/topics/threat-intelligence/threat-actor-usage-of-ai-tools/
Enormer Finanzanlage-Betrug: 9 Europäer verhaftet
Über dutzende Kryptowährungs-Angebote soll ein europäisches Verbrechernetzwerk mehr als 600 Millionen Euro eingenommen und über Blockchains gewaschen haben. Vergangene Woche wurden neun Personen an ihren jeweiligen Wohnsitzen verhaftet: in Köln, Katalonien und auf Zypern.
https://heise.de/-11056948
Kreditkartenbetrug: Durchsuchungen auf drei Kontinenten
In einer koordinierten Aktion auf drei Kontinenten sind Ermittler gegen mutmaßliche Betrugs- und Geldwäschenetzwerke vorgegangen - auch in Deutschland. Den Beschuldigten wird vorgeworfen, Kreditkartendaten von Geschädigten aus 193 Ländern genutzt zu haben, um mehr als 19 Millionen Abonnements über professionell betriebene Schein-Webseiten abzuschließen, wie das Bundeskriminalamt mitteilte.
https://heise.de/-11057117
Iran-linked Threat Group Claims Breach of Israeli Defense Contractor-s Security Cameras
An Iran-linked threat group claims to have accessed the security cameras of an Israeli defense contractor and leaked videos of internal meetings and employees working on defense systems. The threat group - Cyber Toufan - has been posting about the alleged breach of Maya Engineering on its Telegram channels for at least a few weeks, but the group-s claims became public in recent days in an X post and articles on media sites such as Straight Arrow News and Breached Company.
https://thecyberexpress.com/israeli-defense-contractors-breach/
Vulnerabilities
Zscaler Discovers Vulnerability in Keras Models Allowing Arbitrary File Access and SSRF (CVE-2025-12058)
SummaryZscaler uncovered a vulnerability in Keras that exposed AI and machine learning environments to file access and network exploitation risks, highlighting the urgent need to secure the AI model supply chain.
https://www.zscaler.com/blogs/security-research/zscaler-discovers-vulnerability-keras-models-allowing-arbitrary-file-access
Security updates for Wednesday
Security updates have been issued by Debian (bind9 and gimp), Fedora (chromium, fastapi-cli, fastapi-cloud-cli, gherkin, libnbd, maturin, openapi-python-client, python-annotated-doc, python-cron-converter, python-fastapi, python-inline-snapshot, python-jiter, python-openapi-core, python-platformio, python-pydantic, python-pydantic-core, python-pydantic-extra-types, python-rignore, python-starlette, python-typer, python-typing-inspection, python-uv-build, ruff, rust-astral-tokio-tar, rust-attribute-derive, rust-attribute-derive-macro, rust-collection_literals, rust-get-size-derive2, rust-get-size2, rust-interpolator, rust-jiter, rust-manyhow, rust-manyhow-macros, rust-proc-macro-utils, rust-quote-use, rust-quote-use-macros, rust-regex, rust-regex-automata, rust-reqsign, rust-reqsign-aws-v4, rust-reqsign-command-execute-tokio, rust-reqsign-core, rust-reqsign-file-read-tokio, rust-reqsign-http-send-reqwest, rust-serde_json, rust-speedate, rust-tikv-jemalloc-sys, rust-tikv-jemallocator, and uv), Mageia (golang and libavif), Red Hat (bind9.16, pcs, and qt6-qtsvg), SUSE (colord, ffmpeg, govulncheck-vulndb, jasper, openjpeg, poppler, qatengine, qatlib, runc, sccache, and tiff), and Ubuntu (keystone, libssh, linux-hwe-6.14, linux-nvidia-tegra, linux-nvidia-tegra-5.15, linux-nvidia-tegra-igx, linux-raspi, runc-app, runc-stable, squid, squid3, and unbound).
https://lwn.net/Articles/1045124/