PixieMe / Shutterstock
Forscher des Security-Anbieters Huntress sind kürzlich auf eine neue ClickFix-Kampagne gestoßen, die auf Mitarbeiter in Unternehmen zielt. Laut Forschungsbericht haben die Angreifer ihre Malware dabei in den Pixeln eines Bildes versteckt, das eine Windows-Update-Seite vortäuscht. Dort werden die Benutzer aufgefordert, auf Ausführen zu klicken, um einen bösartigen Befehl einzufügen und auszuführen.
Dieser Befehl liefert Infostealer LummaC2 und Rhadamanthys aus. Huntress weist darauf hin, dass sein Bericht nach dem 13. November veröffentlicht wurde, als der Ermittlungserfolg gegen Rhadamanthys bekannt gegeben wurde. Demnach hosteten mehrere aktive Domains noch am 19. November die gefälschte Windows Update -Seite, die mit der Rhadamanthys-Kampagne in Verbindung steht. „Alle Fake-Seiten verweisen auf dieselbe codierte URL-Struktur, die zuvor mit dem Einsatz von Rhadamanthys in Verbindung stand“, so die Forscher. Die Payload wird jedoch offenbar nicht mehr gehostet.
ClickFix-Angriffe sind nichts Neues
Experten haben bereits zuvor vor ClickFix-Angriffen (manchmal auch als „Pastejacking“ bezeichnet) gewarnt. Sie beginnen oft mit einem Phishing-Köder, der das Opfer auf eine realistisch aussehende gefälschte Landing Page lockt, die vorgibt, eine Windows Update-Seite oder eine Website einer Regierungsbehörde zu sein. Der Kern des Angriffs besteht darin, den Benutzern Anweisungen zu geben, die das Klicken auf Eingabeaufforderungen und das Kopieren, Einfügen und Ausführen von Befehlen direkt im Windows-Dialogfeld „Ausführen“, Windows Terminal oder Windows PowerShell beinhalten. Dies führt zum Herunterladen von Skripten, die Malware starten.
Ana Pham von Huntress betont gegenüber CSO, dass Steganografie für Malware-Operationen nichts Neues ist. „Das Besondere daran ist die Umsetzung: Anstatt einfach nur schädliche Daten an eine Bilddatei anzuhängen, verschlüsselt diese Kampagne die Payload direkt in den RGB-Pixelwerten von PNG-Bildern, extrahiert Shellcode durch das Auslesen bestimmter Farbkanäle und wendet eine XOR-Entschlüsselung an.“
Dies sei aufwendiger als einfache Techniken zum Anhängen von Dateien, die darauf ausgelegt sind, signaturbasierte Erkennung zu umgehen.
„Die Taktik mit dem Windows Update-Motiv ist besonders effektiv, weil sie etwas nachahmt, was die Nutzer erwarten: eine Vollbild- -Seite von Windows Update mit realistischen Animationen“, sagt sie. „Der Quellcode dieser Köder enthält Kommentare in russischer Sprache und ist nicht stark verschleiert, sodass er relativ leicht von anderen Gruppen geteilt oder kopiert werden kann.“
Forscher der NCC Group haben kürzlich einen weiteren Bericht über einen ClickFix-Angriff veröffentlicht, den sie im Mai 2025 entdeckt haben. Konkret geht es dabei um eine Drive-by-Kompromittierung und die Verwendung eines gefälschten CAPTCHA-Popups – mit dem Ziel, den Lumma C2 Stealer zu installieren.
Tipps zum Schutz
Der erste Schritt zur Verteidigung gegen Clickfix-Angriffen besteht laut dem Huntress-Experten Pham darin, die Ausführung der Malware zu unterbinden. „Die effektivste Methode zur Abwehr von ClickFix ist die Deaktivierung des Windows-Ausführungsfelds“, so Huntress, „entweder durch Änderungen in der Windows-Registry oder durch Einsatz von GPO-Regeln (Group Policy Object), um die Interaktion mit dem Windows-Ausführungsfeld zu blockieren.“
Zudem wird eine Standardmaßnahme zur Bekämpfung aller Social-Engineering-Angriffe empfohlen: eine effektive Schulung der Mitarbeiter zum Thema Sicherheitsbewusstsein. „Stellen Sie sicher, dass die Anwender die ClickFix-Methodik kennen“, heißt es in dem Bericht. „Betonen Sie, dass legitime CAPTCHA- oder Windows-Update-Prozesse niemals das Einfügen und Ausführen von Befehlen erfordern.“
Außerdem sollten CISOsSie den RunMRU-Registrierungsschlüssel (der eine Kopie der zuletzt ausgeführten Befehle aus dem Ausführungsfenster speichert) überprüfen, um festzustellen, ob Benutzer verdächtige Befehle über den Ausführungsdialog ausgeführt haben.
Pham empfiehlt außerdem den Einsatz von Endpoint-Monitoring überwachung für verdächtige Prozessketten – insbesondere mit Blick auf Fälle, in denen explorer.exe mshta.exe oder PowerShell mit ungewöhnlichen Befehlszeilenargumenten startet.
„Sicherheitsbewusstseinstrainings sind zwar wichtig, sollten aber nicht die einzige Verteidigungslinie sein“, so Pham. (jm)
No Responses