Uraltes finger-Protokoll wird plötzlich für diverse Angriffe missbraucht

Ein eigentlich fast in Vergessenheit geratenes Software-Tool erlebt derzeit ein unerwartetes Comeback, allerdings im negativen Sinne. Kriminelle setzen vermehrt auf den uralten "finger"-Befehl, um Schadcode auf Windows-Rechnern auszuführen.
Hacker, Linux, Cybersecurity, Code, Quellcode, Powershell, Terminal, Shell, Ssh, Kommandozeile, Windows Terminal, cmd, Bash, Script, putty

Zentrales Element in ClickFix-Maschen

Ursprünglich diente der Finger-Dienst dazu, auf Unix- und später auch Windows-Systemen grundlegende Informationen über andere Nutzer abzurufen. Heute gilt er als ungebräuchlich, wird jedoch nach wie vor von den meisten Betriebssystemen unterstützt und folgerichtig auch von Angreifern ausgenutzt.

Sicherheitsforscher beobachten seit Kurzem mehrere Kampagnen, die den Finger-Dienst als Transportweg für Schadcode verwenden, wie die Kollegen von Bleeping Computer berichten. Besonders häufig scheinen diese Attacken im Umfeld sogenannter "ClickFix"-Betrugsmaschen aufzutauchen, bei denen Nutzer dazu verleitet werden, vermeintlich harmlose Befehle manuell auszuführen.


Ein Beispiel machte vor wenigen Tagen auf Reddit die Runde: Ein Nutzer berichtete, er sei auf eine gefälschte Captcha-Abfrage hereingefallen und habe den dort angegebenen Befehl in der Windows-Eingabeaufforderung ausgeführt. Dahinter verbarg sich ein Finger-Aufruf, dessen Ausgabe direkt an cmd.exe weitergeleitet wurde. Dieser Trick dient dazu, beliebigen Code nachzuladen und umgehend auszuführen.

Analysen zeigen, dass die so abgerufenen Finger-Antworten häufig Skripte enthalten, die zunächst ein temporäres Verzeichnis anlegen, Systemwerkzeuge wie "curl" umbenennen und anschließend Schadsoftware von präparierten Servern herunterladen. In einem dokumentierten Fall wurde ein angebliches PDF-Archiv entpackt, das in Wahrheit ein Python-Modul mit Spionagefunktionen enthielt.

Port 79 schließen

Andere Varianten lieferten den Fernwartungs-Trojaner NetSupport Manager aus, der Angreifern weitreichende Kontrolle über das infizierte System gewährt. Teilweise prüfen die Schadroutinen sogar, ob Analyseprogramme wie Wireshark oder Process Hacker installiert sind und brechen die Infektion dann ab, um einer Entdeckung zu entgehen.

Experten zufolge stammen die beobachteten Angriffe wahrscheinlich von ein und demselben Akteur. Die Methode wirkt simpel, zeigt aber immer wieder Wirkung, da Nutzer durch gut gemachte Social-Engineering-Tricks dazu gebracht werden, gefährliche Befehle selbst auszuführen. Sicherheitsforscher raten dringend dazu, ausgehende Verbindungen über TCP-Port 79 zu blockieren, um missbräuchliche Zugriffe auf Finger-Dienste zu verhindern. Zudem sollten Anwender sensibilisiert werden, niemals Befehle aus unbekannten Quellen in die Kommandozeile zu übernehmen, selbst wenn sie harmlos wirken.

Zusammenfassung
  • Veralteter Finger-Befehl wird von Kriminellen für Schadcode-Angriffe missbraucht
  • Ursprünglich für Nutzerinformationen konzipiert, nun Transportweg für Malware
  • Besonders häufig bei ClickFix-Betrugsmaschen durch manipulierte Captchas
  • Schadroutinen laden nach Ausführung weitere Trojaner wie NetSupport Manager
  • Experten vermuten einen einzelnen Akteur hinter den koordinierten Angriffen
  • Empfehlung: TCP-Port 79 blockieren und keine unbekannten Befehle ausführen

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!