Neue ClickFix-Kampagne nutzt Social Engineering zur Verbreitung von Malware über irreführende Eingabeaufforderungen

Sicherheitsforscher haben eine neue Kampagne von ClickFix-ähnlichen Angriffen beobachtet. Dabei handelt es sich um eine Social-Engineering-Technik, bei der Angreifer Benutzer dazu bringen, bösartige Befehle auf ihren Geräten auszuführen, um Malware zu installieren oder Systeme und Anmeldedaten zu kompromittieren.

Der Hauptangriffsvektor beginnt mit kompromittierten oder gefälschten Webseiten, die "Dummy "-Aufforderungen enthalten - z. B. CAPTCHA-Verifizierungsanfragen oder Fehlermeldungen -, die den Benutzer dazu auffordern, einen Systembefehl einzufügen und auszuführen, als ob er zur Lösung eines angezeigten Problems notwendig wäre.

Diese betrügerischen Seiten sind so aufgebaut, dass sie über JavaScript bösartigen Code in die Zwischenablage des Benutzers laden und den Benutzer dann auffordern, den Inhalt in eine lokale Ausführungsaufforderung(Windows Ausführen, macOS Terminal usw.) einzufügen. Nach der Ausführung lädt der Befehl bösartige Nutzdaten herunter und führt sie aus, ohne dass die Antivirensoftware den Angriff automatisch erkennt, da die Aktion vom Benutzer selbst initiiert wird.

Die ClickFix-Technik breitet sich schnell aus und hat bereits zahlreiche fortgeschrittene Varianten hervorgebracht, darunter:

• Versionen, die legitime Systemkomponenten missbrauchen(living-off-the-land), um die Ausführung von bösartigem Code zu verbergen.
• Methoden, die schädliche Nutzdaten aus DNS-TXT-Einträgen abrufen, um Netzwerkfilter zu umgehen.
• Varianten, die auf mehrere Betriebssysteme abzielen(Windows, macOS, Linux) und Verschleierungstechniken einsetzen, um Sicherheitsprüfungen zu umgehen.

Zu der durch diese Kampagnen freigesetzten Malware gehören Infostealer, Remote-Access-Trojaner (RATs), Backdoors und andere ausgeklügelte Nutzdaten, die es Angreifern ermöglichen, sich dauerhaft Zugang zu verschaffen, sensible Daten zu exfiltrieren und die Infrastruktur der Opfer zu gefährden.

Sicherheitsempfehlungen

• Führen Sie niemals Befehle aus, die von Webseiten oder Verifizierungs-Pop-ups kopiert wurden, insbesondere wenn sie das Einfügen in ein Terminal oder einen Systemdialog erfordern.
• Vermeiden Sie den Besuch verdächtiger oder kompromittierter Websites, insbesondere solcher, die über nicht verifizierte Links oder über Phishing-E-Mails erreicht werden.
• Blockieren Sie die Ausführung von PowerShell-Skripten oder anderen Systembefehlen durch nicht-administrative Benutzer.
• Implementieren Sie technische Kontrollen, wie z. B. die Überwachung abnormaler Aktivitäten in der laufenden Registrierung, ungewöhnliche DNS-Abfragen oder Aufrufe von Systemtools, die unter normalen Bedingungen nicht verwendet werden sollten.
• Schulung der Benutzer zur Erkennung irreführender Aufforderungen und Anfragen, wobei darauf hingewiesen werden sollte, dass keine legitime Website die manuelle Ausführung von Systembefehlen erfordert.

SOC