Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Cyberkriminelle nutzen zunehmend die betrügerische Technik ClickFix, um die ausgeklügelte Backdoor CORNFLAKE.V3 zu verbreiten. Sicherheitsforscher, die die Aktivität mit der Bezeichnung UNC5518 verfolgen, haben sie mit einer Access-as-a-Service-Aktion in Verbindung gebracht, bei der gefälschte CAPTCHA-Seiten Opfer dazu verleiten, schädliche Befehle auszuführen. Sobald der Zugriff erlangt ist, wird er weiterverkauft oder zur weiteren Nutzung an andere cyberkriminelle Gruppen weitergegeben.

Wie der Angriff beginnt

Die Infektionskette beginnt oft, wenn Nutzer mit SEO-vergifteten Suchergebnissen oder bösartigen Anzeigen interagieren. Die Opfer werden auf eine gefälschte CAPTCHA-Verifizierungsseite umgeleitet, die Cloudflares Turnstile oder anderen legitimen Diensten ähnelt. Im Glauben, eine Verifizierungsaufgabe zu lösen, werden die Nutzer stattdessen dazu angeleitet, ein bösartiges PowerShell-Skript zu kopieren und in das Windows-Ausführen-Dialogfeld einzufügen, was Angreifern den nötigen Angriffspunkt bietet.

Beteiligung von Bedrohungsakteuren

Der gestohlene Zugriff aus UNC5518-Kampagnen wurde von mindestens zwei verschiedenen Gruppen ausgenutzt:

  • UNC5774 – ein finanziell motivierter Akteur, der CORNFLAKE liefert, um zusätzliche Nutzlasten einzusetzen.
  • UNC4108 – eine Gruppe mit unklaren Motiven, die dabei beobachtet wurde, wie sie PowerShell verwendete, um Malware wie VOLTMARKER und NetSupport RAT zu verbreiten.

Dies zeigt, wie ClickFix als Einfallstor für eine Vielzahl bösartiger Folgeaktivitäten dient.

Inside CORNFLAKE.V3

Die CORNFLAKE.V3-Backdoor existiert sowohl in JavaScript- als auch in PHP-Varianten. Sie wurde entwickelt, um:

  • Führen Sie verschiedene Nutzlasten über HTTP aus, darunter ausführbare Dateien, DLLs, JavaScript, Batchdateien und PowerShell-Befehle.
  • Sammeln Sie grundlegende Systemdaten und senden Sie sie zur Verschleierung über Cloudflare-Tunnel an einen vom Angreifer kontrollierten Server.

Im Gegensatz zu seinem Vorgänger V2, der nur als Downloader fungierte, bietet V3 Persistenz durch die Änderung von Windows-Registrierungsschlüsseln und unterstützt ein breiteres Spektrum an Nutzlasten. Mindestens drei Nutzlasten wurden über V3 verteilt, darunter:

  • Ein Active Directory-Aufklärungstool
  • Ein Kerberoasting-Skript zum Diebstahl von Anmeldeinformationen

WINDYTWIST.SEA, eine C-basierte Hintertür mit Funktionen wie Reverse-Shell-Zugriff, TCP-Verkehrsweiterleitung und lateraler Bewegung

Warum ClickFix gefährlich ist

Die ClickFix-Methode hat in cyberkriminellen Kreisen an Bedeutung gewonnen, da sie stark auf menschliche Interaktion angewiesen ist. Benutzer werden dazu manipuliert, Befehle selbst auszuführen und so viele automatisierte Sicherheitstools zu umgehen. Zu den gängigen Übertragungsvektoren gehören:

  • Phishing-E-Mails
  • Malvertising-Kampagnen
  • Drive-by-Website-Kompromittierungen

Um ihre Glaubwürdigkeit zu erhöhen, geben sich Angreifer oft als bekannte Marken, Cloudflare-Checks oder sogar Discord-Server-Verifizierungen aus.

Kommerzialisierung von ClickFix-Kits

Seit Ende 2024 tauchen ClickFix-Builder in Untergrundforen auf und werden als „Win + R“-Kits vermarktet. Die Preise liegen je nach Funktionsumfang typischerweise zwischen 200 und 1.500 US-Dollar pro Monat. Einzelne Komponenten wie Quellcode, Landingpages oder Kommandozeilenskripte werden oft separat für 200 bis 500 US-Dollar verkauft.

Einige erweiterte Kits bündeln ClickFix-Builder mit anderen Malware-Loadern und bieten:

  • Fertige Landingpages mit verschiedenen Ködern
  • Befehle, die die Antivirenerkennung garantiert umgehen
  • Optionen für Persistenz und SmartScreen-Umgehung

Abwehrmaßnahmen

Um ClickFix-basierten Infektionen entgegenzuwirken, sollten Unternehmen proaktive Abwehrmaßnahmen ergreifen. Empfohlene Schritte sind:

  • Einschränken oder Deaktivieren des Windows-Ausführen-Dialogs, sofern möglich.
  • Durchführung regelmäßiger Phishing- und Social-Engineering-Simulationen zur Schulung der Benutzer.
  • Implementieren Sie eine robuste Protokollierung und Überwachung, um ungewöhnliche PowerShell- oder Skriptausführungen schnell zu erkennen.

Indem sie sich sowohl auf Prävention als auch auf Früherkennung konzentrieren, können Unternehmen das Risiko, das von Kampagnen mit ClickFix und CORNFLAKE.V3 ausgeht, erheblich reduzieren.

Im Trend

Am häufigsten gesehen

Wird geladen...