En kritisk SimpleHelp-sårbarhet har blitt det nyeste målet for cyberkriminelle. Angriperne bruker den til å kompromittere servere for fjernsupport og installere et helt nytt skadevareverktøy som stjeler sensitive innloggingsopplysninger.
Sikkerhetsforskere oppdaget kampanjen da de undersøkte angrep mot sårbare SimpleHelp-installasjoner. Etter innbruddet nøyer ikke angriperne seg med uautorisert tilgang. I stedet installerer de de to nye skadevarevariantene TaskWeaver og Djinn Stealer, noe som gjør de kompromitterte serverne til et utgangspunkt for videre angrep.
Angrepet starter med uoppdaterte SimpleHelp-servere
Kampanjen utnytter CVE-2026-48558, en kritisk sårbarhet som rammer SimpleHelp-servere konfigurert med OpenID Connect (OIDC).
Ved å utnytte sårbarheten kan angriperne opprette sin egen teknikerkonto og få samme tilgangsnivå som en legitim administrator. Deretter kan de koble seg til administrerte enheter, overføre filer, kjøre kommandoer og bevege seg videre gjennom kundenes miljøer uten å bruke stjålne innloggingsopplysninger.
Angrepet viser hvor stor risiko organisasjoner tar når de eksponerer plattformer for fjernadministrasjon mot internett uten å installere sikkerhetsoppdateringer raskt nok.
TaskWeaver baner vei for mer skadevare
Etter at angriperne har kompromittert en server, installerer de TaskWeaver, en JavaScript-basert skadevarelaster.
TaskWeaver samler først inn informasjon om den infiserte enheten. Deretter kontakter den en kommando- og kontrollserver for å laste ned flere skadevarekomponenter. Hovedoppgaven er å etablere varig tilgang og levere angripernes spesialutviklede skadevare uten å vekke mistanke.
Djinn Stealer jakter på verdifulle innloggingsopplysninger
Det siste skadeprogrammet, Djinn Stealer, fokuserer på å stjele autentiseringsopplysninger som kan gi angriperne tilgang til virksomhetens infrastruktur.
Forskerne fant at skadevaren leter etter SSH-nøkler, innloggingsopplysninger til skytjenester, Git-repositorier, Docker-konfigurasjoner, pakkebehandler-tokener, kryptolommebøker og hemmeligheter som utviklingsteam bruker.
Djinn Stealer retter seg også mot konfigurasjonsfiler og autentiseringstokener knyttet til flere AI-baserte kodeassistenter. Det viser at angriperne i økende grad forsøker å kompromittere AI-drevne utviklingsmiljøer.
Siden skadevaren støtter Windows, Linux og macOS, kan én og samme kampanje ramme et bredt spekter av systemer i bedriftsnettverk.
IT-leverandører og MSP-er står overfor økt risiko
SimpleHelp spiller en sentral rolle hos mange leverandører av administrerte IT-tjenester og interne IT-avdelinger. Derfor er sårbare servere attraktive mål for trusselaktører.
Når angriperne får teknikerrettigheter, kan de samhandle med administrerte enheter som om de var autoriserte administratorer. Dermed kan de stjele data, installere mer skadevare og utvide fotfestet sitt i offerets nettverk.
Oppdater SimpleHelp uten opphold
Den nyeste kampanjen viser hvor raskt angripere tar i bruk nylig offentliggjorte sikkerhetssårbarheter.
Organisasjoner som bruker SimpleHelp, bør identifisere sårbare servere, installere de nyeste sikkerhetsoppdateringene og kontrollere at ingen uautoriserte teknikerkontoer har blitt opprettet. Sikkerhetsteam bør også undersøke administrerte enheter for spor etter TaskWeaver og Djinn Stealer, siden tidlig oppdagelse kan hindre angriperne i å utvide tilgangen.
Å installere sikkerhetsoppdateringene så raskt som mulig er fortsatt den mest effektive måten å eliminere SimpleHelp-sårbarheten før angriperne rekker å utnytte den.


0 responses to “SimpleHelp-sårbarhet utnyttes til å spre den nye skadevaren Djinn Stealer”