End-of-Day report
Timeframe: Freitag 05-06-2026 18:00 - Montag 08-06-2026 18:00
Handler: Guenes Holler
Co-Handler: n/a
News
C0XMO botnet spreads via DD-WRT router flaw, kills rival malware
A new variant of the Gafgyt botnet called C0XMO is targeting DD-WRT router firmware and can move to other device types with various CPU architectures.
https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/
Over 20,000 Instagram accounts stolen in Meta AI support hack
Meta has revealed that 20,225 Instagram users had their accounts hijacked in a recent incident where attackers used Meta's AI-powered support system to reset passwords.
https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/
Angst vor Russland: Hacker entschuldigen sich bei attackierter Firma
Ein Cyberakteur entpuppt sich als "Ransomware-Trottel des Tages". Er hat ein Ziel attackiert, das ihm wirklich Probleme bereiten kann.
https://www.golem.de/news/angst-vor-russland-hacker-entschuldigen-sich-bei-attackierter-firma-2606-209426.html
VerdantBamboo Deploys BSD Variant of BRICKSTORM on Linux Appliances
A China-nexus cyber espionage group has been observed deploying a BSD variant of a known backdoor called BRICKSTORM, as well as two other malware families codenamed PLENET (aka GRIMBOLT) and AGENTPSD to target Linux systems.
https://thehackernews.com/2026/06/verdantbamboo-deploys-bsd-variant-of.html
Google warnt: Angreifer geben sich als IT-Techniker aus und betreten Büros
Die Google Threat Intelligence Group warnt vor der Gruppe UNC3753. Die Angreifer geben sich vor Ort als IT-Techniker aus, um Daten per USB-Stick zu stehlen.
https://www.heise.de/news/Google-warnt-Angreifer-geben-sich-als-IT-Techniker-aus-und-betreten-Bueros-11320590.html
Passwortmanager Dashlane: Angreifer kopieren fast 20 Passwort-Vaults
Dashlane informiert darüber, dass Angreifer nach massiven Brute-Force-Attacken rund 20 Passwort-Vaults kopiert haben.
https://www.heise.de/news/Passwortmanager-Dashlane-Angreifer-kopieren-fast-20-Passwort-Vaults-11321244.html
Schweizer Rüstungsunternehmen RUAG zahlt Lösegeld an Cybergang
Nachdem die Cybergang Akira bei der RUAG-Tochter Mecanex USA Daten abgezogen hat, hat RUAG ein Lösegeld gezahlt.
https://www.heise.de/news/Schweizer-Ruestungsunternehmen-RUAG-zahlt-Loesegeld-an-Cybergang-11321552.html
Recovery Scam: Fake-Agenturen schädigen Opfer erneut
Sie versprechen Hilfe bei der Wiederbeschaffung von Vermögen, das durch eine Betrugsmasche gestohlen wurde. Die Website zur angeblichen Agentur sieht ansprechend aus, nutzt reale Impressumsdaten und übersteht damit erste Überprüfungen. Tatsächlich stecken hinter diesem Angebot Kriminelle, die frühere Opfer erneut bestehlen wollen. So funktioniert der Betrug nach dem Betrug.
https://www.watchlist-internet.at/news/fake-agenturen-schaedigen-opfer/
Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5
If you've ever received an out-of-the-blue message via LinkedIn from a recruiter offering some well-paid consultancy work, intelligence agencies have a message for you: be very careful.
https://www.bitdefender.com/en-us/blog/hotforsecurity/linkedin-recruiter-chinese-intelligence-fbi-mi5
Israelische Firma Bright Data missbraucht mit Backdoor in Apps Millionen Smart-TV
Eine israelische Firma ist dabei aufgeflogen, dass sie Millionen Smart TV-Geräte in Zombi-Proxys verwandelt hat, um AI-Web-Scraping durchzuführen. Dazu wurden entsprechende Backdoors in Apps für Smart TV-Geräte eingebaut. Einige Anbieter wie Roku, Fire TV und Google TV haben diese Praxis untersagt. Aber Samsung- und LG-Smart TV-Geräte fungieren heimlich als Ausgangsknoten für KI-basiertes Web-Scraping, wie eine Untersuchung gezeigt hat.
https://borncity.com/blog/2026/06/06/israelische-firma-bright-data-missbraucht-mit-backdoor-in-apps-millionen-smart-tv/
New Pink Extortion Group Targets Microsoft 365 Cloud Data Via Vishing Scams
Cybersecurity researchers are warning businesses about Pink Extortion Group, a threat actor that uses voice phishing to bypass multi-factor authentication and steal files from cloud environments.
https://hackread.com/pink-extortion-microsoft-365-cloud-data-vishing-scams/
Did Claude Increase Bugs in rsync?
A simple distributional analysis of every rsync release with bug data. Nothing complicated, answers only one question: are the Claude-assisted releases unusually buggy?
https://alexispurslane.github.io/rsync-analysis/
How a USB-connected speaker can infect a PC without ever being touched
Operating system makers take many steps to prevent their wares from accepting commands from remote devices. The safeguards, designed to thwart malicious attacks, typically require hackers to jump through all kinds of hoops to bypass the measures. But what if remote code execution were as simple as being within Bluetooth range of a speaker connected to the targeted device?
https://arstechnica.com/security/2026/06/highly-reviewed-speaker-can-be-hacked-over-the-air-to-infect-connected-devices/
Vulnerabilities
Angriffe gegen Checkpoint VPN Lösungen - Hotfix verfügbar
Checkpoint warnt vor beobachteten Angriffen gegen die Produkte Checkpoint Security Gateway und Checkpoint Spark Firewall. Auswirkungen Die zugrunde liegende Sicherheitslücke CVE-2026-50751 erlaubt unbefugten Zugriff auf das VPN.
https://www.cert.at/de/warnungen/2026/6/angriffe-gegen-checkpoint-vpn-losungen-hotfix-verfugbar
Critical UniFi OS bug lets hackers gain root without authentication
Attackers can chain three already fixed vulnerabilities in the Ubiquiti UniFi OS server to execute remote code with root privileges and without authentication. The security issues are tracked as CVE-2026-34908, CVE-2026-34909, and CVE-2026-34910. They have been addressed in May and impact UniFi OS Server versions 5.0.6 and earlier.
https://www.bleepingcomputer.com/news/security/critical-unifi-os-bug-lets-hackers-gain-root-without-authentication/
SolarWinds Serv-U: Angreifer missbrauchen DoS-Lücke in FTP-Server
In SolarWinds-Serv-U-Servern können Angreifer eine Schwachstelle für Denial-of-Service-Angriffe missbrauchen. Laut CISA tun sie das bereits.
https://www.heise.de/news/SolarWinds-Serv-U-Angreifer-missbrauchen-DoS-Luecke-in-FTP-Server-11321084.html
VMware: Mehrere Produkte mit Stored-Cross-Site-Scripting-Lücken
Broadcom warnt vor mehreren Stored-Cross-Site-Scripting-Lücken in VMware Cloud Foundation und weiteren Produkten. Updates helfen.
https://www.heise.de/news/VMware-Mehrere-Produkte-mit-Stored-Cross-Site-Scripting-Luecken-11321673.html
Comodo Internet Security: DoS-Bug ohne Sicherheitsupdate
Wer sich eine Internet Security Suite installiert, möchte den Rechner absichern. Im Fall von Comodo kommt eine Sicherheitslücke mit.
https://www.heise.de/news/Comodo-Internet-Security-DoS-Bug-ohne-Sicherheitsupdate-11321732.html
Critical Everest Forms Pro flaw exploited to take over WordPress sites
Hackers are actively exploiting a critical vulnerability (CVE-2026-3300) in the Everest Forms Pro plugin, which lets them take complete control of a WordPress website. The security issue affects versions 1.9.12 and earlier of the plugin and can be leveraged without authentication to execute arbitrary code on the server.
https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/
Kein Patch verfügbar: Bitlocker-Exploit Bitskrieg veröffentlicht
Microsofts empfohlene Korrektur für den Bitlocker-Exploit Yellowkey ist offenbar unvollständig. Mit Bitskrieg soll sie sich umgehen lassen.
https://www.golem.de/news/kein-patch-verfuegbar-bitlocker-exploit-bitskrieg-veroeffentlicht-2606-209491.html
LWN Security updates for Monday
https://lwn.net/Articles/1076983/