End-of-Day report
Timeframe: Mittwoch 27-05-2026 18:00 - Donnerstag 28-05-2026 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Guenes Holler
News
Update #2: Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne - DACH-Recruiting-Domains im Fokus
Update #2: 28. Mai 2026: Eine weitere neue Köderdomain wurde bekannt, die demselben Muster folgt: falkentalent[.]at
https://www.cert.at/de/aktuelles/2026/5/zipline-qilin-raas-update
GPU mining malware spreads via SEO poisoning, AI chatbots
Threat actors are targeting systems with high-performance computers in an ongoing cryptojacking campaign spread through a coordinated SEO poisoning operation that also manipulated AI chatbot recommendations. -The compromise occurs through malicious download pages for utility software typically installed by owners of powerful systems, like CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, and PDFgear. [..] Microsoft researchers discovered the campaign and determined that the attack begins when users look for one of the aforementioned utilities and are presented with malicious links boosted in search rankings through SEO poisoning.
https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/
Vibe-Coding-Verdacht: Datenpanne in NPM-Paket legt Malware-Operation offen
Sicherheitsforscher von OX Security haben einen Malware-Angriff beobachtet, bei dem der Angreifer offenbar wenig Gespür für seine eigene operative Sicherheit hatte. Laut Blogbeitrag der Forscher versuchte der Angreifer, durch ein NPM-Paket einen Infostealer zu verbreiten. Das Paket enthielt jedoch sein Github-Token, so dass die Forscher die Malware-Aktivitäten ziemlich genau nachverfolgen konnten.
https://www.golem.de/news/vibe-coding-verdacht-datenpanne-in-npm-paket-legt-malware-operation-offen-2605-209123.html
Seitenkanalangriff per Javascript: Spionage über SSD-Zugriffe einer Website
Durch gezielte SSD-Zugriffe und Zeitmessungen können Angreifer über eine Website mit speziellem Javascript-Code heimlich Informationen darüber auslesen, welche Anwendungen auf den Systemen der Besucher laufen. [..] Im Hintergrund geöffnete Webseiten konnten die Forscher bei ihren Tests mit einer Wahrscheinlichkeit von 88,95 Prozent, andere ausgeführte Anwendungen sogar mit einer Wahrscheinlichkeit von 95,83 Prozent korrekt identifizieren.
https://www.golem.de/news/seitenkanalangriff-per-javascript-spionage-ueber-ssd-zugriffe-einer-website-2605-209137.html
Pirates in the crosshairs: how one cybercrime gang has been infecting book, movie, and TV show fans for years
In late April 2026, a client reached out to us for incident response support after discovering a miner running on users- computers. We later discovered that the malware was being distributed via illegal movie and TV show streaming sites. The infection chain leveraged a fake update for a video player plugin. When the user attempted to watch a video, the player displayed a message saying the plugin version was outdated and asking to install an update to continue. [..] The archive contained a legitimate executable, HLS Installer.874.exe, alongside a malicious DLL.
https://securelist.com/video-books-pirates-miners-rat/119943/
Warnung vor gefälschten FIFA-Webseiten vor der Fußball-WM 2026
In zwei Wochen startet die Fußball-WM. Kriminelle nutzen die Gunst der Stunde und fälschen die FIFA-Webseite etwa für Phishing. [..] Mehr als 300 Domains laufen mit der betrügerischen Infrastruktur im Hintergrund. Sie greifen das Ping-Identity-SSO-System der FIFA an, um Zugangsdaten abzugreifen. 140 weitere Domains gelten als verdächtig und 3800 sind noch geparkt und warten nur auf ihre Aktivierung. Insgesamt 2513 FIFA-Kontenzugangsdaten für die Domains fifa.com und fifa.org haben die IT-Forscher bereits im Darknet gefunden.
https://www.heise.de/news/Warnung-vor-gefaelschten-FIFA-Webseiten-vor-der-Fussball-WM-2026-11309777.html
Gefälschte SMS im Namen der Österreichischen Pensionsversicherung
Eine SMS der Pensionsversicherung fordert zur Aktualisierung des Pensionskontos auf. Vorsicht: Hinter dem Link steckt keine Behörde, sondern eine Phishing-Falle.
https://www.watchlist-internet.at/news/gefaelschte-sms-im-namen-der-pensionsversicherung/
SharePoint Update für CVE-2026-45659 (26.5.2026)
Microsoft hat zum 21. Mai 2026 einen Hinweis auf ein außerplanmäßiges Sicherheitsupdate für seine noch unterstützten SharePoint-Systeme freigegeben (oder zumindest dokumentiert, denn das Update kam bereits zum 12. Mai 2026 mit den regulären SharePoint-Updates). Die Information zum Update ist dann zum 26. Mai 2026 aktualisiert worden. Es handelt sich bei CVE-2026-45659 um eine Microsoft SharePoint Remote Code Execution-Schwachstelle.
https://borncity.com/blog/2026/05/27/sharepoint-out-of-band-update-fuer-cve-2026-45659-26-5-2026/
CISA warnt vor Malware durch Supply-Chain-Attacken
Die CISA warnt aktuell vor den jüngst beobachteten Lieferkettenangriffen auf TanStack, Daemon Tools sowie Nx Console, die Malware verteilt haben.
https://heise.de/-11309253
Vulnerabilities
New Gogs zero-day flaw lets hackers get remote code execution
An unpatched zero-day vulnerability in the Gogs self-hosted Git service can allow attackers to gain remote code execution (RCE) on Internet-facing instances. [..] This critical severity argument injection security flaw has yet to be assigned a CVE ID, affects the latest release versions (Gogs 0.14.2 and 0.15.0+dev), and can only be exploited by authenticated attackers without admin privileges.
https://www.bleepingcomputer.com/news/security/new-gogs-zero-day-flaw-lets-hackers-get-remote-code-execution/
Drupal AlternativeCommerce (Basket) - Highly critical - Arbitrary PHP code execution - SA-CONTRIB-2026-038
An attacker can supply a crafted payload and trigger PHP Object Injection. If a viable gadget chain exists in the site codebase or installed dependencies, this can result in arbitrary PHP code execution. CVE IDs: CVE-2026-9726
https://www.drupal.org/sa-contrib-2026-038
Notepad++: Lücken erlauben Einschleusen von Schadcode und Befehlen
Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen.
https://www.heise.de/news/Notepad-Luecken-erlauben-Einschleusen-von-Schadcode-und-Befehlen-11309111.html
VMware Sicherheitsupdates für ESXi 8.0U3j & VSA 8.0U3j
VMware by Broadcom hat gerade Sicherheitsupdates für seine Produkte ESXi 8.0U3j sowie VSA 8.0U3J (vSphere Storage Appliance) veröffentlicht. Ergänzung: Es gab in Kommentaren Hinweise, dass Updates ohne Wartungsvertrag nicht installiert werden dürfen.
https://borncity.com/blog/2026/05/28/vmware-sicherheitsupdates-fuer-esxi-8-0u3j-vsa-8-0u3j/
Veeam: Security Fixes and Improvements 2026-05-27
https://www.veeam.com/knowledge-base.html?type=security
Joomla: [20260520] - Framework - Inadequate content filtering within the cleanAttributes filter code
https://developer.joomla.org/security-centre/1052-20260520-framework-inadequate-content-filtering-within-the-cleanattributes-filter-code.html
LWN: Security updates for Thursday
https://lwn.net/Articles/1075060/