SimpleHelp-Lücke: CISA warnt vor Höchstbewertung CVE-2026-48558
30.06.2026 - 16:19:35 | boerse-global.de
Besonders betroffen: die belarussische Opposition und Regierungseinrichtungen weltweit.
Ghostwriter zielt auf belarussischen Oppositionspolitiker
Die Hackergruppe UNC1151, besser bekannt als Ghostwriter, hat in den letzten Tagen eine Phishing-Kampagne gegen den belarussischen Oppositionspolitiker Juras Hubarewitsch gestartet. Die Angreifer verschickten gefälschte Sicherheitswarnungen – angeblich von Google, verfasst auf Russisch. Eine kompromittierte ukrainische Website leitete die Opfer auf eine gefälschte Anmeldeseite weiter.
Technisch setzen die Hacker auf Echtzeit-Erfassung der Zugangsdaten. Websockets ermöglichen es ihnen, Anmeldeinformationen sofort abzugreifen. So umgehen sie auch Einmal-Passwörter (OTP) oder SMS-basierte Sicherheitsabfragen. Die Angriffs-Infrastruktur läuft über das Bunny Content Delivery Network (CDN) und zeigt Verbindungen zu IP-Adressen in Polen. Neben Hubarewitsch gerieten auch Nutzer ukrainischer Webmail-Dienste wie I.UA und META.UA ins Visier.
Russische Geheimdienste kapern Signal und WhatsApp
Die US-Behörden CISA und FBI warnen parallel vor den russischen Gruppen UNC5792 und UNC4221. Deren Zielgruppe: Regierungsmitarbeiter, Militärangehörige und Journalisten. Neu ist der Angriffsvektor über kommerzielle Messenger-Apps wie Signal, WhatsApp und Telegram.
Die Hacker versuchen gezielt, Backup-Wiederherstellungsschlüssel der Konten zu stehlen. Einmal kompromittiert, bleiben diese Schlüssel oft auch nach einer Konto-Neuerstellung gültig. Vorausgesetzt, der Nutzer generiert keinen neuen Schlüssel. Das erlaubt den Angreifern langfristigen Zugriff auf sensible Kommunikation.
Phishing-Angriffe und Datenklau betreffen längst nicht mehr nur die Politik, sondern bedrohen täglich Millionen privater Online-Konten. Erfahren Sie in diesem kostenlosen Report, wie Sie sich mit der neuen Passkey-Technologie bei Diensten wie WhatsApp oder Amazon unknackbar absichern. Passkey-Ratgeber jetzt kostenlos anfordern
Phishing-Plattform Kali365 automatisiert Angriffe
Seit dem Frühjahr treibt eine neue Plattform die Bedrohungslage auf die Spitze: „Kali365“. Dieser Phishing-as-a-Service-Dienst ist auf Microsoft-365-Konten spezialisiert. Er missbraucht das Device-Code-Login-Verfahren, um OAuth-Token zu stehlen. Der Clou: Die Multi-Faktor-Authentisierung wird komplett umgangen – ohne dass das Opfer sein Passwort eingeben muss.
Ein aktueller Bericht von Cloudflare zeigt die dramatische Lage. Organisationen der Zivilgesellschaft werden siebenmal häufiger Ziel von Schwachstellen-Exploits als andere Sektoren. Rund zehn Prozent der untersuchten E-Mails in diesem Umfeld waren Phishing. Besonders gefährdet: exilierte Journalisten. Deren Web-Traffic verzeichnet ein deutlich erhöhtes Angriffsaufkommen.
Wenn herkömmliche Passwörter und SMS-Codes als Schutz nicht mehr ausreichen, müssen neue Sicherheitslösungen her. Dieser Gratis-Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie auf das sicherere passwortlose Einloggen umstellen und Hackern keine Chance mehr geben. Hier kostenlosen Sicherheits-Report sichern
SimpleHelp-Lücke mit Höchstbewertung
Neben sozialer Manipulation nutzen Hacker auch technische Sicherheitslücken aktiv aus. CISA warnt vor einer kritischen Schwachstelle in der Fernwartungssoftware SimpleHelp (CVE-2026-48558). Der CVSS-Score von 10.0 ist die Höchstbewertung. Die Lücke ermöglicht die Umgehung der Authentifizierung über fehlerhafte OIDC-Token-Validierungen.
Angreifer verschaffen sich vollen Techniker-Zugriff auf Windows-, Linux- und macOS-Systeme – und überspringen dabei alle MFA-Hürden. Erste Angriffe mit der Schadsoftware TaskWeaver wurden bereits dokumentiert.
Experten raten angesichts dieser Entwicklung zu hardwarebasierten Sicherheitsschlüsseln. SMS-Verfahren und einfache Authentifizierungs-Apps sind zunehmend wirkungslos gegen moderne Phishing-Methoden und Plattformen wie Kali365.
