En kritisk SimpleHelp-sårbarhet har blivit det senaste målet för cyberkriminella. Angriparna använder den för att ta kontroll över fjärrsupportservrar och installera ett helt nytt skadeprogramspaket som stjäl känsliga inloggningsuppgifter.
Säkerhetsforskare upptäckte kampanjen när de undersökte attacker mot sårbara installationer av SimpleHelp. Efter intrånget nöjer sig angriparna inte med obehörig åtkomst. I stället installerar de de två nya skadeprogrammen TaskWeaver och Djinn Stealer, vilket gör de komprometterade servrarna till en språngbräda för fler attacker.
Attacken börjar med ouppdaterade SimpleHelp-servrar
Kampanjen utnyttjar CVE-2026-48558, en kritisk sårbarhet som påverkar SimpleHelp-servrar med OpenID Connect (OIDC) aktiverat.
Genom att utnyttja sårbarheten kan angripare skapa ett eget teknikerkonto och få samma behörighet som en legitim administratör. Därefter kan de ansluta till hanterade enheter, överföra filer, köra kommandon och röra sig vidare i kundernas miljöer utan att använda stulna inloggningsuppgifter.
Attacken visar hur stora riskerna blir när organisationer exponerar fjärrhanteringsplattformar mot internet utan att installera säkerhetsuppdateringar i tid.
TaskWeaver banar väg för fler attacker
När angriparna har tagit kontroll över en server installerar de TaskWeaver, en skadeprogramsladdare skriven i JavaScript.
TaskWeaver samlar först in information om den infekterade enheten. Därefter kontaktar den en kommandokontrollserver för att hämta ytterligare skadlig kod. Huvuduppgiften är att skapa en permanent närvaro i systemet och leverera fler skadeprogram utan att väcka misstankar.
Djinn Stealer söker efter värdefulla inloggningsuppgifter
Det sista steget i attacken består av Djinn Stealer, som fokuserar på att stjäla autentiseringsuppgifter med högt värde för företag.
Forskarna såg att skadeprogrammet letar efter SSH-nycklar, autentiseringsuppgifter till molntjänster, Git-arkiv, Docker-konfigurationer, pakethanterartoken, kryptoplånböcker och hemligheter som utvecklingsteam använder.
Djinn Stealer riktar dessutom in sig på konfigurationsfiler och autentiseringstoken för flera AI-baserade kodassistenter. Det visar att angripare i allt högre grad försöker komma åt AI-drivna utvecklingsmiljöer.
Eftersom skadeprogrammet fungerar på Windows, Linux och macOS kan samma kampanj angripa många olika system i ett företagsnätverk.
IT-leverantörer löper störst risk
SimpleHelp används av många leverantörer av hanterade IT-tjänster och interna IT-avdelningar. Därför lockar sårbara servrar till sig hotaktörer.
När angripare får teknikerbehörighet kan de arbeta i de anslutna systemen precis som en legitim administratör. Det ger dem möjlighet att stjäla information, installera mer skadlig kod och utöka sitt fotfäste i offrets nätverk.
Åtgärda SimpleHelp-sårbarheten omedelbart
Den senaste kampanjen visar hur snabbt cyberkriminella börjar utnyttja nya säkerhetsbrister.
Organisationer som använder SimpleHelp bör identifiera sårbara servrar, installera de senaste säkerhetsuppdateringarna och kontrollera att inga obehöriga teknikerkonton har skapats. Säkerhetsteam bör också granska hanterade enheter efter spår av TaskWeaver och Djinn Stealer, eftersom en tidig upptäckt kan stoppa angriparna innan de hinner utöka intrånget.
Att installera säkerhetsuppdateringar så snart som möjligt är fortfarande det mest effektiva sättet att eliminera SimpleHelp-sårbarheten innan angripare hinner utnyttja den.


0 svar till ”SimpleHelp-sårbarhet utnyttjas för att sprida den nya Djinn Stealer-skadliga programvaran”