End-of-Day report
Timeframe: Montag 23-03-2026 18:00 - Dienstag 24-03-2026 18:00
Handler: Felician Fuchs
Co-Handler: n/a
News
Tycoon2FA phishing platform returns after recent police disruption
The Tycoon2FA phishing-as-a-service (PhaaS) platform that Europol and partners disrupted on March 4 has already returned to previously observed activity levels.
https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-platform-returns-after-recent-police-disruption/
Exploit-Kit veröffentlicht: Leak auf Github gefährdet Millionen von iPhones
Eine neue Version des Exploit-Kits Darksword ist auf Github aufgetaucht. Zahlreiche iPhones lassen sich dadurch mit nur einem Klick infiltrieren.
https://www.golem.de/news/exploit-kit-veroeffentlicht-leak-auf-github-gefaehrdet-millionen-von-iphones-2603-206852.html
IIS ohne Support: Hunderttausende angreifbare Microsoft-Server im Netz
Mehr als eine halbe Million online erreichbare IIS-Webserver haben ihren End-of-Life-Status erreicht. Auch in Deutschland stehen einige davon.
https://www.golem.de/news/iis-ohne-support-hunderttausende-angreifbare-microsoft-server-im-netz-2603-206863.html
North Korean Hackers Abuse VS Code Auto-Run Tasks to Deploy StoatWaffle Malware
The North Korean threat actors behind the Contagious Interview campaign, also tracked as WaterPlum, have been attributed to a malware family tracked as StoatWaffle thats distributed via malicious Microsoft Visual Studio Code (VS Code) projects.
https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html
Country that put backdoors into Cisco routers to spy on world bans foreign routers
Unfortunately, there arent many options unless youre Starlink Citing national security fears, America is effectively banning any new consumer-grade network routers made abroad.
https://www.theregister.com/2026/03/24/fcc_foreign_routers/
Scam compounds hiring -AI models- to seal the deal in deepfake video calls
Forced labor doesn-t play well on camera, so scam compounds are hiring women to deepfake their faces on video calls.
https://www.malwarebytes.com/blog/news/2026/03/scam-compounds-hiring-ai-models-to-seal-deal-in-deepfake-video-calls
orfbeitragportal.at: Kostenpflichtige Hilfe für kostenloses Angebot
Im Alltag anfallende Behördenwege können sich zu einem dezenten Zeitfresser entwickeln. Mittlerweile gibt es deshalb eine wachsende Anzahl an Portalen, die hier ihre Hilfe anbieten. Sie erledigen besagte Behörden- und andere Wege im Namen ihrer Klient:innen. Angeblich. Warum das problematischer ist, als man auf den ersten Blick annehmen möchte und was wirklich dahintersteckt, erklärt dieser Artikel am Beispiel der Website -orfbeitragportal.at-.
https://www.watchlist-internet.at/news/orfbeitragportal-kostenpflichtige-hilfe/
Google Authenticator: The Hidden Mechanisms of Passwordless Authentication
Explore Google-s synced passkey architecture. Unit 42 details its mechanisms, key management, and secure communication in passwordless systems.
https://unit42.paloaltonetworks.com/passwordless-authentication/
Hack des Hosters: Händler haben ihre JTL-Wawi-Daten verloren (23. März 2026)
Einige Händler, die auf das Warenwirtschaftssystem von JTL für ihre Online-Shops setzen, und bei einem bestimmten Hoster gebucht haben, sind wohl von der nächsten Hiobsbotschaft betroffen.
https://borncity.com/blog/2026/03/24/hack-des-hosters-haendler-haben-ihre-jtl-wawi-daten-verloren-23-maerz-2026/
New CanisterWorm Targets Kubernetes Clusters, Deploys -Kamikaze- Wiper
CanisterWorm spreads via npm supply chain attack, hijacks developer accounts, targets Kubernetes clusters, and deploys destructive Kamikaze wiper payload.
https://hackread.com/canisterworm-kubernetes-clusters-kamikaze-wiper/
Box of secrets: Discreetly modding an apartment intercom with Matter
[..] This was such a fun project to work on, and it allowed me to dip my toes into circuit hacking, something I don-t get to do nearly enough. The components for this project are all super simple, so if you-re in the same position as Frank, give it a try!
https://www.jackhogan.me/blog/box-of-secrets
KICS GitHub Action Compromised: TeamPCP Strikes Again in Supply Chain Attack
Checkmarx KICS scanner is the latest victim of a credential-stealing supply chain attack by TeamPCP. Between 12:58-16:50 UTC on March 23, 35 tags were hijacked. Learn how to audit your workflows, identify malicious activity, and secure your GitHub Actions.
https://www.wiz.io/blog/teampcp-attack-kics-github-action
Vulnerabilities
Jetzt patchen! Attacken auf Quest KACE Systems Management Appliance
Angreifer melden sich beim Endpoint-Managementsystem Quest KACE Systems Management Appliance an. Ein Sicherheitspatch ist schon länger verfügbar.
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Quest-KACE-Systems-Management-Appliance-11222188.html
Sicherheitspatches: Verschiedene Attacken auf SmarterMail möglich
Der E-Mail- und Collaboration-Server SmarterMail ist verwundbar. Die Entwickler haben mehrere Sicherheitslücken geschlossen.
https://www.heise.de/news/Sicherheitspatches-Verschiedene-Attacken-auf-SmarterMail-moeglich-11222521.html
Tausende Magento-Websites gehackt (März 2026)
Derzeit läuft wohl eine Kampagne, bei der Magento-Websites gehackt und mit einer Defacement-Meldung verunstaltet werden. Es sollen wohl Tausende an Magento-Websites betroffen sein. Am 7. März 2026 waren alleine 7.500 Magento Webseiten (bzw. Shops) betroffen, wie ein Sicherheitsanbieter mitteilte.
https://borncity.com/blog/2026/03/23/tausende-magento-websites-gehackt-maerz-2026/
Stackfield Desktop App: RCE via Path Traversal and Arbitrary File Write (CVE-2026-28373)
CVE-2026-28373 describes a path traversal vulnerability in the Stackfield desktop app affecting all versions up to 1.10.1 on Windows and macOS.
https://www.rcesecurity.com/2026/03/stackfield-desktop-app-rce-via-path-traversal-and-arbitrary-file-write-cve-2026-28373/
LWN Security updates for Tuesday
https://lwn.net/Articles/1064474/