Consecur Weekly Update zu Bedrohungsinfos in KW 04/2026

ConSecur GmbH ConSecur GmbH   |
  • Malware
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu Bedrohungsinfos in KW 04/2026.

In dieser Woche wurden laut Consecur Weekly Update neue Ghostposter Add-ons gefunden, eine kritische Fortinet-Schwachstelle aktiv ausgenutzt und es kam erneut zu Fehlalarm in Sachsen-Anhalt.

Zusammenfassung (TL; DR):

  • Neue Ghostposter Add-ons gefunden
  • Kritische Fortinet-Schwachstelle aktiv ausgenutzt
  • Wiederholt Fehlalarm in Sachsen-Anhalt

Neue Ghostposter Add-ons gefunden: Auf insgesamt 840,000 Installationen kommen 17 Browser Erweiterungen, die jüngst mit der, im vergangenen Dezember entdeckten, GhostPoster Malware in Verbindung gebracht wurden. Die Verteilung begann offenbar im Microsoft Edge Add-on Store und weitete sich später auf Chrome und Firefox aus, wobei einige Erweiterungen bereits seit 2020 in Stores verfügbar gewesen sein sollen.

Wie schon bei der ersten GhostPoster-Welle wird schädlicher Code im Logo versteckt. Die Erweiterung extrahiert zur Laufzeit die eingebetteten Daten, wartet teils länger mit der Aktivierung und lädt anschließend weitere JavaScript-Payloads nach, die u. A. Browsing-Aktivitäten überwachen, Affiliate-Links kapern und Inhalte wie iFrames zur Monetarisierung injizieren. Nach Informationen der Browser-Sicherheitsplattform LayerX wurde eine weiterentwickelte Variante, u. A. in der Erweiterung „Instagram Downloader“ gefunden. Darin wurde die Logik in ein Hintergrundskript verlagert, das eine mitgelieferte Bilddatei als verdeckten Payload-Container nutzt. Das Skript sucht in der .png-Datei nach dem Marker >>>>, speichert die extrahierten Daten lokal als Base64 und führt sie nach Dekodierung als JavaScript aus.

Die Erweiterungen sind nicht mehr in den jeweiligen Stores verfügbar. Nutzer der Add-ons könnten dennoch weiterhin gefährdet sein und sollten diese umgehend entfernen.

Was jetzt zu tun ist: Erweiterungen umgehend deinstallieren

Kritische Fortinet-Schwachstelle aktiv ausgenutzt: Eine kritische Schwachstelle in FortiSIEM wird laut aktuellen Berichten aktiv ausgenutzt, kurz nachdem Fortinet einen temporären Workaround veröffentlichte.

Bei CVE-2025-64155 handelt es sich um eine OS Command Injection im phMonitor-Dienst. Sie erlaubt es unauthentifizierten Angreifern, über präparierte Requests, Dateien zu schreiben und anschließend z.B. über regelmäßige Jobs auszuführen, wodurch root-Rechte erlangt werden können. Einem Bericht von Horizon3.ai zufolge, liegt die Ursache des Problems in der Offenlegung von Befehlshandlern im phMonitor. Diese können ohne Authentifizierung aus der Ferne aufgerufen werden. Ein jüngst veröffentlichter Proof-of-Concept -Code erhöht die Wahrscheinlichkeit weiterer Angriffe.

​Horizon3.ai veröffentlichte einige IoCs, die eine Alarmierung erleichtern sollen. Administratoren wird dringend empfohlen, zu patchen, oder, falls das nicht möglich ist, den Zugriff auf den phMonitor-Port (7900) einzuschränken.

Was jetzt zu tun ist:

  • Umgehend patchen
  • auf Kompromittierung prüfen

Wiederholt Fehlalarm in Sachsen-Anhalt: Nachdem eine Woche zuvor bereits die Behörden in Halle eine Aktivierung des Notfall-Alarms meldeten, ohne dass dies durch die verantwortlichen Stellen veranlasst wurde, kam es nun auch in Querfurt im Saalekreis zu einem Vorfall.

Nach Informationen der Polizeiinspektion Halle gab es am Abend des 16.01. sowohl Sirenenalarm als auch Durchsagen in Querfurt. Die Stadt spricht auf ihrem WhatsApp-Kanal von einem Fehlalarm. Laut MDR verwenden beide Städte unterschiedliche technische Systeme, weshalb ein direkter technischer Zusammenhang derzeit als eher unwahrscheinlich gilt.

Aufgrund des Verdachts auf einen Cyberangriff ermittelt in beiden Fällen das LKA.

CrashFix-Angriffe durch fake Ad Blocker: Eine als datenschutzorientierter, leistungsstarker und ressourcenschonender Werbeblocker beworbene Browser-Erweiterung für Chrome und Edge namens NexShield wurde jüngst in einer Malvertising-Kampagne verbreitet.

Durch eine ressourcenintensive Endlosschleife verursacht die Extension nach Installation einen Crash des Browsers. Nachdem dieser neugestartet wurde, erscheint ein Popup, das, wie für ClickFix-Angriffe üblich, einen „Fix“ bereitstellt. Dabei wird der Nutzer aufgefordert, Win+R zu öffnen und per Strg+V einen bereits in die Zwischenablage kopierten Befehl einzufügen. Dieser lädt einige Payloads über Powershell. Für Systeme innerhalb einer Domäne wird beispielsweise die ModeloRAT, eine Python-RAT geladen.

Nutzern der Erweiterung wird dringend die Durchführung einer Systembereinigung empfohlen, da das Entfernen der Extension allein nicht ausreicht.

Was jetzt zu tun ist: ggf. Systembereinigung durchführen

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung