Eine kritische SimpleHelp-Schwachstelle ist ins Visier von Cyberkriminellen geraten. Die Angreifer nutzen sie, um Fernwartungsserver zu kompromittieren und ein bislang unbekanntes Malware-Paket zu installieren, das auf den Diebstahl sensibler Zugangsdaten ausgelegt ist.

Sicherheitsforscher entdeckten die Kampagne bei der Untersuchung von Angriffen auf verwundbare SimpleHelp-Installationen. Nach dem ersten Eindringen begnügen sich die Angreifer nicht mit einem unbefugten Zugriff. Stattdessen installieren sie die beiden neuen Schadprogramme TaskWeaver und Djinn Stealer und machen kompromittierte Server so zum Ausgangspunkt weiterer Angriffe.

Angriff beginnt mit ungepatchten SimpleHelp-Servern

Die Kampagne nutzt CVE-2026-48558 aus, eine kritische Schwachstelle, die SimpleHelp-Server mit aktivierter OpenID Connect (OIDC)-Authentifizierung betrifft.

Durch die Ausnutzung der Schwachstelle können Angreifer ein eigenes Technikerkonto anlegen und dieselben Berechtigungen wie ein legitimer Administrator erhalten. Anschließend können sie sich mit verwalteten Endgeräten verbinden, Dateien übertragen, Befehle ausführen und sich innerhalb der Kundenumgebungen bewegen – ganz ohne gestohlene Zugangsdaten.

Der Angriff zeigt deutlich, welchen Risiken Unternehmen ausgesetzt sind, wenn sie Fernwartungsplattformen direkt über das Internet erreichbar machen und Sicherheitsupdates nicht zeitnah installieren.

TaskWeaver bereitet weitere Malware vor

Nachdem die Angreifer einen Server kompromittiert haben, installieren sie TaskWeaver, einen JavaScript-basierten Malware-Loader.

TaskWeaver sammelt zunächst Informationen über das infizierte System. Anschließend nimmt die Schadsoftware Kontakt zu einem Command-and-Control-Server auf, um weitere Malware nachzuladen. Ihre Hauptaufgabe besteht darin, eine dauerhafte Präsenz im System aufzubauen und zusätzliche Schadsoftware unauffällig bereitzustellen.

Djinn Stealer hat es auf wertvolle Zugangsdaten abgesehen

Die finale Schadsoftware Djinn Stealer konzentriert sich auf den Diebstahl von Zugangsdaten, die Angreifern Zugriff auf Unternehmensinfrastrukturen verschaffen können.

Die Forscher stellten fest, dass die Malware nach SSH-Schlüsseln, Zugangsdaten zu Cloud-Diensten, Git-Repositories, Docker-Konfigurationen, Paketmanager-Tokens, Kryptowallets sowie geheimen Schlüsseln von Entwicklungsteams sucht.

Darüber hinaus greift Djinn Stealer Konfigurationsdateien und Authentifizierungstokens mehrerer KI-gestützter Programmierassistenten an. Das zeigt, dass Cyberkriminelle zunehmend KI-gestützte Entwicklungsumgebungen ins Visier nehmen.

Da die Malware Windows, Linux und macOS unterstützt, kann eine einzige Kampagne zahlreiche Systeme innerhalb eines Unternehmensnetzwerks angreifen.

Entwickler und Managed Service Provider sind besonders gefährdet

SimpleHelp spielt bei vielen Managed Service Providern sowie in internen IT-Abteilungen eine wichtige Rolle. Deshalb sind verwundbare Server besonders attraktive Ziele für Bedrohungsakteure.

Sobald Angreifer Technikerrechte erhalten, können sie mit verwalteten Endgeräten arbeiten, als wären sie autorisierte Administratoren. Dadurch können sie Daten stehlen, weitere Schadsoftware installieren und ihren Zugriff innerhalb des Netzwerks kontinuierlich ausweiten.

Unternehmen sollten die SimpleHelp-Schwachstelle sofort schließen

Die aktuelle Kampagne zeigt, wie schnell Angreifer neu veröffentlichte Sicherheitslücken für ihre Zwecke einsetzen.

Unternehmen, die SimpleHelp verwenden, sollten verwundbare Server identifizieren, die neuesten Sicherheitsupdates installieren und alle Technikerkonten auf unbefugte Ergänzungen oder verdächtige Aktivitäten überprüfen. Außerdem sollten Sicherheitsteams verwaltete Endgeräte auf Hinweise zu TaskWeaver und Djinn Stealer untersuchen, denn eine frühzeitige Erkennung kann eine Ausweitung des Angriffs verhindern.

Das zeitnahe Einspielen der Sicherheitsupdates bleibt die wirksamste Maßnahme, um die SimpleHelp-Schwachstelle zu beseitigen, bevor Angreifer sie ausnutzen können.


0 Kommentare zu „SimpleHelp-Schwachstelle wird ausgenutzt, um die neue Schadsoftware Djinn Stealer zu verbreiten“