Fiese Windows-Attacke: Hacker tarnen Schadsoftware als CAPTCHA
Neue ClickFix-Attacke auf Windows: Hacker missbrauchen legitime Microsoft-Skripte, um den Datendieb Amatera einzuschleusen. Fake-CAPTCHAs und versteckter PowerShell-Code machen die Kampagne besonders heimtückisch.
Dabei wird ein offiziell signiertes Microsoft-App-V-Skript missbraucht, das eigentlich für den Einsatz in Unternehmensumgebungen gedacht ist. Die App-V-Funktion erlaubt normalerweise, Programme virtuell und isoliert auszuführen, ohne sie direkt zu installieren.
Der Code prüft zunächst, ob die Eingabe tatsächlich manuell erfolgt ist, um Sicherheitsanalysen in virtuellen Umgebungen zu umgehen. Wird ein Test erkannt, bricht die Ausführung ab oder läuft in einer Endlosschleife, um Analysen zu verhindern. Im nächsten Schritt lädt der Schadcode Konfigurationsdaten aus einem öffentlichen Google-Kalender, wo sie Base64-kodiert hinterlegt sind.
Anschließend wird über das Windows-Management-Instrumentation-System ein versteckter PowerShell-Prozess gestartet. Mehrere verschlüsselte Module werden direkt im Arbeitsspeicher geladen. Weitere Bestandteile der Malware sind in PNG-Bildern versteckt - eine Technik namens Steganografie. Die Bilder werden von öffentlichen Servern geladen, entschlüsselt und ausgeführt, ohne sichtbare Dateien auf dem System zu hinterlassen. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität
Um sich zu schützen, empfehlen Experten, den Zugriff auf das Ausführen-Fenster über Gruppenrichtlinien zu begrenzen, die PowerShell-Protokollierung zu aktivieren und nicht benötigte App-V-Komponenten zu entfernen. Außerdem sollten Netzwerkverbindungen auf auffällige Abweichungen zwischen Hostnamen und Zieladressen überprüft werden.
Was haltet ihr von dieser Masche? Diskutiert gern mit!
Siehe auch:
Neuen Tricks
Eine neue Angriffskampagne richtet sich gegen Windows-Nutzer und kombiniert bekannte Methoden mit neuen Tricks. Nach Angaben der Sicherheitsfirma BlackPoint Cyber setzen die Angreifer auf eine Variante der sogenannten ClickFix-Methode, um die Schadsoftware Amatera einzuschleusen.Dabei wird ein offiziell signiertes Microsoft-App-V-Skript missbraucht, das eigentlich für den Einsatz in Unternehmensumgebungen gedacht ist. Die App-V-Funktion erlaubt normalerweise, Programme virtuell und isoliert auszuführen, ohne sie direkt zu installieren.
Gefälschte CAPTCHA-Seiten
Die Täter nutzen das legitime Skript SyncAppvPublishingServer.vbs, um über eine vertrauenswürdige Windows-Komponente PowerShell zu starten. Auf diese Weise lässt sich schädlicher Code unauffällig ausführen. Der Angriff beginnt typischerweise über eine gefälschte CAPTCHA-Seite, die Nutzer zur angeblichen Verifizierung auffordert, einen Befehl manuell in das Ausführen-Fenster einzutragen. Damit startet die eigentliche Infektion.Der Code prüft zunächst, ob die Eingabe tatsächlich manuell erfolgt ist, um Sicherheitsanalysen in virtuellen Umgebungen zu umgehen. Wird ein Test erkannt, bricht die Ausführung ab oder läuft in einer Endlosschleife, um Analysen zu verhindern. Im nächsten Schritt lädt der Schadcode Konfigurationsdaten aus einem öffentlichen Google-Kalender, wo sie Base64-kodiert hinterlegt sind.
Anschließend wird über das Windows-Management-Instrumentation-System ein versteckter PowerShell-Prozess gestartet. Mehrere verschlüsselte Module werden direkt im Arbeitsspeicher geladen. Weitere Bestandteile der Malware sind in PNG-Bildern versteckt - eine Technik namens Steganografie. Die Bilder werden von öffentlichen Servern geladen, entschlüsselt und ausgeführt, ohne sichtbare Dateien auf dem System zu hinterlassen. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität
Malware-as-a-Service
Schließlich aktiviert sich der Amatera-Infostealer, der Browserdaten und gespeicherte Zugangsdaten ausliest. Danach verbindet sich die Software mit einem festen Server, um zusätzliche Module nachzuladen. Nach Einschätzung der Forscher basiert Amatera auf dem früheren ACR-Stealer und wird als Malware-as-a-Service angeboten. Untersuchungen zeigen, dass der Code kontinuierlich weiterentwickelt und um neue Tarnfunktionen ergänzt wird.Um sich zu schützen, empfehlen Experten, den Zugriff auf das Ausführen-Fenster über Gruppenrichtlinien zu begrenzen, die PowerShell-Protokollierung zu aktivieren und nicht benötigte App-V-Komponenten zu entfernen. Außerdem sollten Netzwerkverbindungen auf auffällige Abweichungen zwischen Hostnamen und Zieladressen überprüft werden.
Was haltet ihr von dieser Masche? Diskutiert gern mit!
Zusammenfassung
- Neue Angriffskampagne nutzt ClickFix-Methode zur Verbreitung des Amatera-Infostealers
- Missbrauch eines signierten Microsoft-App-V-Skripts als Tarnung für Schadcode
- Gefälschte CAPTCHA-Seiten verleiten Nutzer zur manuellen Eingabe des Befehls
- Angreifer laden Konfigurationsdaten aus Google-Kalender mit Base64-Codierung
- Steganografie in PNG-Grafiken versteckt weiteren Schadcode auf öffentlichen CDNs
- Amatera-Stealer liest Browserdaten und gespeicherte Zugangsinformationen aus
- Experten empfehlen Beschränkung des Zugriffs auf das Windows-Ausführen-Fenster
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen