ClickFix-Angriff nutzt gefälschten Windows Update-Bildschirm
Die kürzlich bekannt gewordenen ClickFix-Angriffe bekommen eine neue, besonders perfide Variante: Sicherheitsforscher beobachten täuschend echt gestaltete Windows-Update-Bildschirme, die sich im Vollbild im Browser öffnen und Nutzer dazu bringen, gefährliche Befehle auszuführen.
ClickFix-Attacken basieren darauf, dass Opfer selbst Code in die Windows-Eingabeaufforderung oder den Ausführen-Dialog einfügen. Die aktuellen Varianten treiben das weiter. Noch bevor Nutzer reagieren können, kopiert die Webseite automatisch schädliche Befehle in die Zwischenablage. Dann folgt die Aufforderung, bestimmte Tasten zu drücken, scheinbar für die Installation eines Updates oder eine "menschliche Verifizierung". In Wahrheit wird so der Code ausgeführt, der den Angriff startet.
Nach Erkenntnissen des Sicherheitsdienstleisters Huntress setzen die Täter zunehmend auf sogenannte Steganografie. Die Schadsoftware steckt dabei nicht in auffälligen Dateien, sondern ist in den Pixeln harmlos aussehender PNG-Bilder versteckt.
Ein eigens entwickelter .NET-"Stego Loader" rekonstruiert den versteckten Code im Arbeitsspeicher. Ausgeführt wird der erste Schritt über das Windows-Tool mshta.exe, anschließend folgen mehrere Ebenen aus PowerShell-Kommandos und verschlüsselten Datenblöcken. Die Attacken zielen aktuell vor allem darauf ab, zwei bekannte Informationsdiebe zu verbreiten: LummaC2 und Rhadamanthys.
Obwohl ein großer Teil der Infrastruktur von Rhadamanthys Mitte November durch die internationale Operation "Endgame" gestört wurde, sind die gefälschten Update-Domains weiter erreichbar. Der eigentliche Schadcode wird derzeit zwar nicht mehr ausgeliefert, doch Experten warnen, dass neue Varianten jederzeit wieder auftauchen können.
Zur Absicherung raten Forscher, ungewöhnliche Prozessketten zu überwachen - etwa wenn explorer.exe plötzlich mshta.exe oder PowerShell startet. Außerdem könne der Eintrag "RunMRU" in der Registry Hinweise darauf geben, ob Nutzer ungewollt Befehle in den Windows-Ausführen-Dialog eingetippt haben.
Wie geht ihr mit solchen Hinweisen um, habt ihr schon einmal ein solchen Trick selbst gesehen?
Siehe auch:
Neue ClickFix-Masche
Darüber berichtet jetzt das Online-Magazin Bleeping Computer. Der Trick wirkt auf den ersten Blick wie ein reguläres Systemupdate, tatsächlich jedoch handelt es sich um eine raffinierte Methode, die Schadsoftware auf die Rechner schleusen soll.ClickFix-Attacken basieren darauf, dass Opfer selbst Code in die Windows-Eingabeaufforderung oder den Ausführen-Dialog einfügen. Die aktuellen Varianten treiben das weiter. Noch bevor Nutzer reagieren können, kopiert die Webseite automatisch schädliche Befehle in die Zwischenablage. Dann folgt die Aufforderung, bestimmte Tasten zu drücken, scheinbar für die Installation eines Updates oder eine "menschliche Verifizierung". In Wahrheit wird so der Code ausgeführt, der den Angriff startet.
Nach Erkenntnissen des Sicherheitsdienstleisters Huntress setzen die Täter zunehmend auf sogenannte Steganografie. Die Schadsoftware steckt dabei nicht in auffälligen Dateien, sondern ist in den Pixeln harmlos aussehender PNG-Bilder versteckt.
Ein eigens entwickelter .NET-"Stego Loader" rekonstruiert den versteckten Code im Arbeitsspeicher. Ausgeführt wird der erste Schritt über das Windows-Tool mshta.exe, anschließend folgen mehrere Ebenen aus PowerShell-Kommandos und verschlüsselten Datenblöcken. Die Attacken zielen aktuell vor allem darauf ab, zwei bekannte Informationsdiebe zu verbreiten: LummaC2 und Rhadamanthys.
Universelle Datendiebe
Beide stehlen Zugangsdaten, Cookies, Krypto-Wallets und weitere sensible Informationen. Der Loader baut eine lange Kette aus 10.000 Funktionsaufrufen ein, was ein gängiges Tarnmanöver ist, um Analysewerkzeuge zu verwirren. Infografik Cybercrime: Zunehmende IT-Schwachstellen bedrohen Unternehmen
Obwohl ein großer Teil der Infrastruktur von Rhadamanthys Mitte November durch die internationale Operation "Endgame" gestört wurde, sind die gefälschten Update-Domains weiter erreichbar. Der eigentliche Schadcode wird derzeit zwar nicht mehr ausgeliefert, doch Experten warnen, dass neue Varianten jederzeit wieder auftauchen können.
Zur Absicherung raten Forscher, ungewöhnliche Prozessketten zu überwachen - etwa wenn explorer.exe plötzlich mshta.exe oder PowerShell startet. Außerdem könne der Eintrag "RunMRU" in der Registry Hinweise darauf geben, ob Nutzer ungewollt Befehle in den Windows-Ausführen-Dialog eingetippt haben.
Wie geht ihr mit solchen Hinweisen um, habt ihr schon einmal ein solchen Trick selbst gesehen?
Zusammenfassung
- Neue ClickFix-Angriffe nutzen täuschend echte Windows-Update-Bildschirme
- Schädlicher Code wird automatisch in die Zwischenablage der Opfer kopiert
- Steganografie versteckt Malware unsichtbar in harmlos wirkenden PNG-Bildern
- Komplexe Verschleierung durch 10000 Funktionsaufrufe erschwert die Analyse
- Informationsdiebe LummaC2 und Rhadamanthys stehlen sensible Zugangsdaten
- Überwachung ungewöhnlicher Prozessketten kann vor Angriffen schützen
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon