End-of-Day report
Timeframe: Freitag 17-10-2025 18:00 - Montag 20-10-2025 18:00
Handler: Alexander Riepl
Co-Handler: n/a
News
Google ads for fake Homebrew, LogMeIn sites push infostealers
A new malicious campaign is targeting macOS developers with fake Homebrew, LogMeIn, and TradingView platforms that deliver infostealing malware like AMOS (Atomic macOS Stealer) and Odyssey.
https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/
Fake-Shops, Phishing, Identitätsdiebstahl: -Die Bedrohungslage ist ernst-
Eine Studie im Auftrag von A1 zeigt, dass vor allem junge Menschen ihre Kompetenz im Bereich Cybersecurity als gering einschätzen.
https://futurezone.at/digital-life/fake-shops-phishing-identitaetsdiebstahl-die-bedrohungslage-ist-ernst/403093614
Internetanschluss: Millionen Balkonkraftwerke als Einfallstor für Hacker
1,17 Millionen Balkonkraftwerke in Deutschland sind online - und damit verwundbar. Ein Sicherheitsexperte hat einige Sicherheitslücken gefunden.
https://www.golem.de/news/internetanschluss-millionen-balkonkraftwerke-als-einfallstor-fuer-hacker-2510-201321.html
Russische Cyberkriminelle: Durchorganisiert und technisch spitze
Der russische Cyberuntergrund besitzt herausragende technische Fähigkeiten. Gruppen organisieren und vernetzen sich wie Unternehmen - doch es gibt Bruchlinien.
https://www.golem.de/news/russische-cyberkriminelle-durchorganisiert-und-technisch-spitze-2510-201276.html
Cyberangriff bei Auktionshaus Sothebys
Bei Sothebys kommen teuerste Kunst- und Luxusgegenstände unter den Hammer. Jetzt gerieten personenbezogene Daten in die Hände von Kriminellen.
https://www.heise.de/news/Cyberangriff-bei-Auktionshaus-Sotheby-s-10778385.html
Moxa Router: Hartkodierte Zugangsdaten ermöglichen Angreifern Vollzugriff
Patches schließen mehrere Schwachstellen in Security Appliances und Routern von Moxa. Bislang gibt es keine Hinweise auf Attacken.
https://www.heise.de/news/Moxa-Router-Hartkodierte-Zugangsdaten-ermoeglichen-Angreifern-Vollzugriff-10778721.html
Verschlüsselnde USB-Sticks von Verbatim bleiben unsicher
Die Keypad-Datenträger von Verbatim sollen Daten vor Diebstahl schützen. Das funktioniert allerdings auch nach Firmware-Updates nicht zuverlässig.
https://www.heise.de/news/Verschluesselnde-USB-Sticks-von-Verbatim-bleiben-unsicher-10785267.html
#10TageGegenPhishing: Achtung Telefonbetrug! So gehen die Kriminellen vor
Immer wieder versuchen Kriminelle, Menschen am Telefon zu täuschen. Dabei geben sie sich als Mitarbeiter:innen von Banken oder bekannten Unternehmen wie Microsoft, PayPal, Amazon oder Apple aus. Ziel ist es, an sensible Daten, Zugänge oder direkt an Geld zu gelangen.
https://www.watchlist-internet.at/news/10tage-telefonbetrug/
#10TageGegenPhishing: Der -Recovery Scam- nimmt frühere Opfer erneut ins Visier
Wenn Kriminelle sich direkt mit dem Versprechen an ehemalige Opfer wenden, gestohlenes Geld oder Krypto-Guthaben zurückzuholen, spricht man von Recovery Scam. Die Betrüger:innen geben sich dabei als Behörde, Agentur oder eine ähnliche Institution aus. Für die Auswahl ihrer Ziele greifen sie auch auf ihre eigenen Datenbanken zurück.
https://www.watchlist-internet.at/news/10tage-recovery-scam/
Peking schlägt Alarm: US-Spionage bei chinesischer Forschungseinrichtung
Chinas Staatssicherheitsdienst wirft der NSA monatelange Cyberangriffe auf das Nationale Zeitdienstzentrum vor
https://www.derstandard.at/story/3000000292602/peking-schlaegt-alarm-us-spionage-bei-chinesischer-forschungseinrichtung
SAP behebt schwerwiegende Sicherheitslücken in mehreren Produkten
Im Rahmen des regulären Oktober-Patchday hat SAP insgesamt 13 Updates für Schwachstellen in seinen Produkten veröffentlicht. Besonders hervorzuheben sind dabei folgende Lücken: CVE-2025-42944, CVSS 10.0, ist eine Deserialization in SAP NetWeaver, mittels welcher unauthentifizierte Angreifer:innen betroffene Systeme vollständig kompromittieren können. Dieses Problem wurde bereits im vergangenen Monat durch SAP adressiert, laut Sicherheitsforscher:innen bietet das ..
https://www.cert.at/de/aktuelles/2025/10/sap-behebt-schwerwiegende-sicherheitslucken-in-mehreren-produkten
She Sells Web Shells by the Seashore (Part III)
The web shell starts by initializing a PHP session[1]: if the session already exists, the variables are retrieved in the dictionary $_SESSION, ..
https://www.truesec.com/hub/blog/she-sells-web-shells-by-the-seashore-part-iii
KI-Angriffsmethode "Lies-in-the-Loop"
Schritt für Schritt werden immer mehr Angriffsmethoden für AI-Modelle entdeckt bzw. bekannt. Das Research Team Checkmarx Zero hat eine neue Angriffsmethode gegen KI-Agenten identifiziert, die mit Human-in-the-Loop-Mechanismen arbeiten: Die Researcher sprechen von "Lies-in-the-Loop" (LITL). Die Information liegt ..
https://www.borncity.com/blog/2025/10/18/ki-angriffsmethode-lies-in-the-loop/
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER
COLDRIVER, a Russian state-sponsored threat group known for targeting high profile individuals in NGOs, policy advisors and dissidents, swiftly shifted operations after the May 2025 public disclosure of its LOSTKEYS malware, operationalizing new malware families five days later. It is unclear how long COLDRIVER had this malware in ..
https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver/
131 Spamware Extensions Targeting WhatsApp Flood Chrome Web Store
This cluster of Chrome extensions comprises 131 rebrands of a single tool, all sharing the same codebase, design patterns, and infrastructure. They are not classic malware, but they function as high-risk spam automation that abuses platform rules. The code injects directly into the WhatsApp Web page, running alongside WhatsApp-s own scripts, ..
https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store
Lessons from the BlackBasta Ransomware Attack on Capita
When a company that manages data for millions of UK citizens falls victim to ransomware, the whole industry should pay attention to it. On 15 October 2025, the UK Information Commissioner-s Office (ICO) published a detailed 136 page report about the Capita breach. The aim of this blog is to extract actionable cybersecurity lessons ..
https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html
Vulnerabilities
Security updates for Monday
Security updates have been issued by Debian (imagemagick, incus, lxd, pgagent, svgpp, and sysstat), Fedora (chromium, complyctl, fetchmail, firefox, mbedtls, mingw-binutils, mingw-python3, mingw-qt5-qtsvg, mingw-qt6-qtsvg, python3.10, python3.11, python3.12, python3.9, runc, and suricata), Mageia (expat), Red Hat (firefox, kernel, qt5-qtbase, and qt6-qtbase), Slackware (stunnel), SUSE (chromium, coredns, ctdb, firefox, kernel, libexslt0, libpoppler-cpp2, ollama, openssl-1_1, pam, samba, ..
https://lwn.net/Articles/1042680/