PixieMe / Shutterstock
Forscher des Security-Anbieters Huntress sind kürzlich auf eine neue ClickFix-Kampagne gestoßen, die auf Mitarbeiter in Unternehmen zielt. Laut Forschungsbericht haben die Angreifer ihre Malware dabei in den Pixeln eines Bildes versteckt, das eine Windows-Update-Seite vortäuscht. Dort werden die Benutzer aufgefordert, auf Ausführen zu klicken, um einen bösartigen Befehl einzufügen und auszuführen.
Dieser Befehl liefert Infostealer LummaC2 und Rhadamanthys aus. Huntress weist darauf hin, dass sein Bericht nach dem 13. November veröffentlicht wurde, als der Ermittlungserfolg gegen Rhadamanthys bekannt gegeben wurde. Demnach hosteten mehrere aktive Domains noch am 19. November die gefälschte Windows Update -Seite, die mit der Rhadamanthys-Kampagne in Verbindung steht. „Alle Fake-Seiten verweisen auf dieselbe codierte URL-Struktur, die zuvor mit dem Einsatz von Rhadamanthys in Verbindung stand“, so die Forscher. Die Payload wird jedoch offenbar nicht mehr gehostet.
ClickFix-Angriffe sind nichts Neues
Experten haben bereits zuvor vor ClickFix-Angriffen (manchmal auch als „Pastejacking“ bezeichnet) gewarnt. Sie beginnen oft mit einem Phishing-Köder, der das Opfer auf eine realistisch aussehende gefälschte Landing Page lockt, die vorgibt, eine Windows Update-Seite oder eine Website einer Regierungsbehörde zu sein. Der Kern des Angriffs besteht darin, den Benutzern Anweisungen zu geben, die das Klicken auf Eingabeaufforderungen und das Kopieren, Einfügen und Ausführen von Befehlen direkt im Windows-Dialogfeld „Ausführen“, Windows Terminal oder Windows PowerShell beinhalten. Dies führt zum Herunterladen von Skripten, die Malware starten.
