ClickFix-Malware
Eine aktuelle Strategie zur Verbreitung von Malware verwendet irreführende Benachrichtigungen, die Fehlern in Google Chrome, Microsoft Word und OneDrive ähneln. Diese gefälschten Warnungen zielen darauf ab, Benutzer dazu zu verleiten, bedrohliche PowerShell-„Fixes“ auszuführen, die letztendlich Malware installieren. Diese Kampagne wurde von verschiedenen Bedrohungsakteuren identifiziert und verwendet, darunter von denen, die mit ClearFake in Verbindung stehen, einer neuen Gruppe namens ClickFix und dem berüchtigten Bedrohungsakteur TA571. TA571 ist für seine Rolle als Spam-Verteiler bekannt und für die Verbreitung großer Mengen von E-Mails verantwortlich, die häufig zu Malware- und Ransomware-Infektionen führen.
Bei früheren ClearFake-Angriffen handelte es sich um Website-Overlays, die Besucher dazu verleiteten, Malware zu installieren, indem sie sich als gefälschte Browser-Updates ausgaben.
Inhaltsverzeichnis
Gefälschte Fehlermeldungen können Malware-Bedrohungen darstellen
Bei den gemeldeten Angriffen haben die Bedrohungsakteure ihre Methoden erweitert und JavaScript in HTML-Anhänge und kompromittierte Websites integriert. Diese Taktiken umfassen nun Overlays, die falsche Fehler von Google Chrome, Microsoft Word und OneDrive simulieren. Diese irreführenden Warnungen fordern die Besucher auf, auf eine Schaltfläche zu klicken, um einen PowerShell-„Fix“ in ihre Zwischenablage zu kopieren, und weisen sie an, ihn entweder in einem Ausführen-Dialog oder einer PowerShell-Eingabeaufforderung einzufügen und auszuführen.
Diese Angriffskette ist zwar auf eine erhebliche Benutzerinteraktion angewiesen, doch das Social Engineering ist so ausgefeilt, dass es Benutzern gleichzeitig ein scheinbar echtes Problem und eine Lösung präsentiert. Dies kann Benutzer dazu veranlassen, überstürzt zu handeln, ohne die damit verbundenen Risiken vollständig abzuschätzen. Infosec-Forscher haben mehrere Payloads identifiziert, die bei diesen Angriffen verwendet werden, darunter DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , ein Clipboard-Hijacker und der Lumma Stealer .
Betrügerische Skripte übertragen Malware auf die Geräte der Benutzer
Analysten haben drei verschiedene Angriffsketten identifiziert, die sich in erster Linie durch ihre Anfangsphasen unterscheiden, wobei nur die erste nicht eindeutig mit TA571 in Verbindung gebracht werden kann.
In diesem ersten Szenario, das mit Bedrohungsakteuren in Verbindung steht, die mit ClearFake in Verbindung stehen, besuchen Benutzer kompromittierte Websites, die bösartige Skripte laden, die über die Smart Chain-Verträge von Binance auf der Blockchain gehostet werden. Diese Skripte führen Prüfungen durch und lösen gefälschte Google Chrome-Warnungen aus, die Probleme mit der Anzeige von Webseiten vorgeben. Der Dialog fordert die Besucher dann auf, ein „Stammzertifikat“ zu installieren, indem sie ein PowerShell-Skript in die Windows-Zwischenablage kopieren und es in einer Windows PowerShell-Konsole (Admin) ausführen.
Bei der Ausführung validiert das PowerShell-Skript das Zielgerät. Anschließend führt es Aktionen aus, wie z. B. das Leeren des DNS-Cache, das Löschen des Inhalts der Zwischenablage, das Anzeigen einer Ablenkungsmeldung und das Herunterladen eines Remote-PowerShell-Skripts. Dieses Skript führt wiederum Anti-VM-Prüfungen durch, bevor es den Download einer Nutzlast zum Stehlen von Informationen initiiert.
ClickFix- und Lure-E-Mails als alternative Angriffsketten
Die zweite Angriffskette ist mit der „ClickFix“-Kampagne verknüpft und nutzt Website-Injektionen auf kompromittierten Websites, um ein Iframe-Overlay zu erstellen, das einen gefälschten Google Chrome-Fehler anzeigt. Benutzer werden aufgefordert, „Windows PowerShell (Admin)“ zu öffnen und den bereitgestellten Code einzufügen, was zu denselben Infektionen führt, die zuvor erwähnt wurden.
Eine weitere Infektionsmethode umfasst E-Mail-basierte Angriffe mit HTML-Anhängen, die Microsoft Word-Dokumenten ähneln. Benutzer werden aufgefordert, die Erweiterung „Word Online“ zu installieren, um das Dokument korrekt anzuzeigen. Die Fehlermeldung bietet die Optionen „So beheben Sie das Problem“ und „Automatisch beheben“. Durch Auswahl von „So beheben Sie das Problem“ wird ein base64-codierter PowerShell-Befehl in die Zwischenablage kopiert und der Benutzer angewiesen, ihn in PowerShell einzufügen. „Automatisch beheben“ verwendet das Suchprotokoll „ms“, um eine über WebDAV gehostete Datei „fix.msi“ oder „fix.vbs“ aus einer vom Remote-Angreifer kontrollierten Dateifreigabe anzuzeigen. In diesen Fällen laden die PowerShell-Befehle entweder eine MSI-Datei oder ein VBS-Skript herunter und führen diese aus, was zu Infektionen durch Matanbuchus bzw. DarkGate führt.
Bei diesen Angriffen nutzen die Angreifer die mangelnde Kenntnis der Benutzer hinsichtlich der Risiken aus, die mit der Ausführung von PowerShell-Befehlen auf ihren Systemen verbunden sind. Sie nutzen außerdem die Unfähigkeit von Windows aus, die durch den eingefügten Code ausgelösten schädlichen Aktionen zu erkennen und zu verhindern.
Die von den Forschern beobachteten unterschiedlichen Angriffsketten deuten darauf hin, dass TA571 aktiv verschiedene Methoden erforscht, um die Wirksamkeit zu steigern und zusätzliche Wege zu finden, um eine größere Anzahl von Systemen zu infizieren. Dieser adaptive Ansatz unterstreicht das Engagement der Cyberkriminellen, ihre Taktiken weiterzuentwickeln und ihren Einfluss innerhalb der Cybersicherheitslandschaft auszuweiten.
