Willkommen zu Ihrem täglichen Cybersecurity-Podcast.
Pornhub warnt Premium-Abonnenten nach Datenexposition am 8. November 2025 über Analytics-Anbieter Mixpanel. Cyberkriminelle drohen, betroffene Nutzer direkt per E-Mail zu kontaktieren. Mixpanel bestreitet, dass Daten aus seinem Sicherheitsvorfall vom 8. November stammen, und gibt an, es gebe keine Beweise für Exfiltration aus seinen Systemen. Pornhub bestätigt, dass Passwörter, Zahlungsdetails und Finanzinformationen nicht kompromittiert sind, wobei die Exposition auf eine begrenzte Menge von Analytics-Ereignissen beschränkt bleibt. Angreifer nutzen diese Daten für Sextortion-Kampagnen, die gezielt identifizierte Premium-Nutzer ansprechen.
Intezer dokumentiert eine Kampagne der Goffee-Gruppe gegen russisches Militärpersonal und Verteidigungsorganisationen. Der im Oktober identifizierte Angriff nutzt eine schädliche XLL-Datei, die von der Ukraine und dann Russland auf VirusTotal hochgeladen wurde, mit dem Titel „enemy’s planned targets“. Die Datei setzt die EchoGather-Backdoor ein, um Systeminformationen zu sammeln, Befehle auszuführen und Dateien auf einen C2-Server zu exfiltrieren, der als Essenslieferungs-Website getarnt ist. Phishing-Köder umfassen gefälschte Konzerteinladungen für hochrangige Militäroffiziere und Briefe, die das russische Ministerium für Industrie und Handel imitieren und Preisrechtfertigungsdokumente für Verteidigungsverträge anfordern.
CISA und NIST veröffentlichen den Entwurf des Interagency Report 8597 zum Schutz von Identitäts-Token und Assertions gegen Fälschung, Diebstahl und missbräuchliche Nutzung. Das Dokument adressiert aktuelle Vorfälle bei großen Cloud-Anbietern, die auf Diebstahl, Modifikation oder Fälschung von Identitäts-Token zum Zugriff auf geschützte Ressourcen abzielen. Der Bericht umfasst IAM-Kontrollen für Systeme, die digital signierte Assertions und Token in Zugriffsentscheidungen verwenden. NIST fordert CSPs auf, Secure by Design-Prinzipien anzuwenden und Transparenz, Konfigurierbarkeit und Interoperabilität zu priorisieren. Bundesbehörden müssen Architektur und Bereitstellungsmodelle ihrer CSPs verstehen, um Risikolage und Bedrohungsumgebung abzustimmen.
Check Point Research hat GachiLoader dokumentiert, eine stark obfuskierte Node.js-Loader-Malware, die über das YouTube Ghost Network verbreitet wird. Die Kampagne nutzt 39 kompromittierte Konten mit über 100 Videos, die Nutzer von Spiele-Cheats ansprechen und seit Dezember 2024 220.000 Aufrufe erreichten. Die Malware implementiert Anti-Analyse-Prüfungen mit mindestens 4 GB RAM, 2 CPU-Kernen sowie Blacklists für Benutzernamen, Hostnamen und laufende Prozesse. GachiLoader deaktiviert Windows Defender und fügt Ausnahmen für C:\Users, C:\ProgramData, C:\Windows und die Erweiterung .sys hinzu. Zwei Varianten wurden beobachtet: Die erste lädt Rhadamanthys von C2-Servern herunter, die zweite setzt Kidkadi.node ein mit Vectored Overloading-Technik zum Abfangen von Systemaufrufen und Laden schädlicher PE.
Quellen:
Pornhub Sextortion:https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure
Goffee APT:https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
NIST/CISA Token:https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and
GachiLoader:https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/
Nicht nachdenken, patchen!
Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/