ZURÜCK ZU NACHRICHTEN
Eilmeldung

ClickFix-Kampagne nutzt Windows App-V zur Verbreitung des Amatera-Infostealers

3 Min. LesezeitQuelle: BleepingComputer

Sicherheitsforscher enthüllen eine neue Malware-Kampagne, die ClickFix, gefälschte CAPTCHAs und signierte Microsoft App-V-Skripte nutzt, um den Amatera-Infostealer auf Windows-Systemen einzuschleusen.

ClickFix-Angriffskette nutzt Windows App-V zur Verbreitung des Amatera-Infostealers

Sicherheitsforscher haben eine neue bösartige Kampagne aufgedeckt, die die ClickFix-Technik mit gefälschten CAPTCHA-Aufforderungen und einem signierten Microsoft Application Virtualization (App-V)-Skript kombiniert, um den Amatera-Infostealer auf Windows-Systemen zu verbreiten. Der Angriff zeigt fortschrittliche Taktiken zur Umgehung von Sicherheitskontrollen und zur Vermeidung von Erkennung.

Angriffsüberblick und technische Details

Die Kampagne beginnt damit, dass Nutzer auf bösartige Websites oder Malvertising stoßen, die eine gefälschte CAPTCHA-Verifizierungsaufforderung auslösen. Wenn Opfer mit dem CAPTCHA interagieren, wird die Angriffskette initiiert, wobei ClickFix – eine Methode, die HTML-Injection missbraucht – genutzt wird, um Klicks zu manipulieren und schädliche Skripte auszuführen.

Die Angreifer nutzen Microsoft App-V, eine legitime Anwendungvirtualisierungstechnologie, indem sie ein signiertes App-V-Skript verwenden, um beliebige Befehle auszuführen. Diese Technik ermöglicht es den Angreifern, Sicherheitsbeschränkungen zu umgehen, da App-V-Skripte von Windows-Systemen grundsätzlich als vertrauenswürdig eingestuft werden. Die finale Payload, Amatera, ist ein Infostealer, der darauf ausgelegt ist, sensible Daten zu exfiltrieren, darunter Anmeldedaten, Browser-Cookies und Informationen zu Kryptowährungs-Wallets.

Wesentliche technische Komponenten des Angriffs umfassen:

  • Gefälschte CAPTCHA-Aufforderungen, um Nutzer zur Auslösung des Angriffs zu verleiten.
  • ClickFix-HTML-Injection, um Nutzerinteraktionen zu manipulieren.
  • Signierte App-V-Skripte, um schädliche Befehle mit erhöhter Vertrauensstufe auszuführen.
  • Amatera-Infostealer zur Datenexfiltration und Persistenz.

Auswirkungen und Risikobewertung

Der Amatera-Infostealer stellt ein erhebliches Risiko für Privatpersonen und Organisationen dar. Nach der Installation kann die Malware:

  • Anmeldedaten, Browser-Cookies und Autofill-Daten sammeln.
  • Kryptowährungs-Wallet-Informationen und andere finanzielle Details stehlen.
  • Persistenz auf infizierten Systemen herstellen, um langfristigen Datendiebstahl zu ermöglichen.

Die Verwendung von signierten App-V-Skripten erschwert die Erkennung, da diese Skripte typischerweise von Sicherheitslösungen auf die Whitelist gesetzt werden. Diese Kampagne unterstreicht die Notwendigkeit einer robusten Überwachung von Anwendungsvirtualisierungstools und nutzerinitiierten Skriptausführungen.

Minderungsmaßnahmen und Empfehlungen

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um die mit dieser Kampagne verbundenen Risiken zu mindern:

  1. Überwachung und Einschränkung der App-V-Skriptausführung

    • Prüfen und einschränken Sie die Ausführung von signierten App-V-Skripten auf vertrauenswürdige Quellen.
    • Implementieren Sie Application Whitelisting, um unautorisierte Skriptausführungen zu verhindern.

  2. Verbesserung des Sicherheitsbewusstseins der Nutzer

    • Schulen Sie Mitarbeiter darin, gefälschte CAPTCHA-Aufforderungen und verdächtige Webinteraktionen zu erkennen.
    • Fördern Sie die Meldung ungewöhnlicher Pop-ups oder Verifizierungsanfragen.

  3. Einsatz fortschrittlicher Bedrohungserkennung

    • Nutzen Sie Endpoint Detection and Response (EDR)-Lösungen, um anomale Skriptausführungen zu überwachen.
    • Implementieren Sie Verhaltensanalysen, um Infostealer-Aktivitäten wie unautorisierte Datenexfiltration zu erkennen.

  4. Systeme aktualisieren und patchen

    • Stellen Sie sicher, dass alle Windows-Systeme und Virtualisierungstools mit den neuesten Sicherheitspatches aktualisiert sind.
    • Deaktivieren oder beschränken Sie App-V, falls es nicht für Geschäftsprozesse benötigt wird.

  5. Netzwerkschutz aufbauen

    • Blockieren Sie bekannte bösartige Domains, die mit Amatera und ähnlichen Infostealern in Verbindung stehen.
    • Setzen Sie Webfilterung ein, um den Zugriff auf Malvertising- und Phishing-Seiten zu verhindern.

Fazit

Diese Kampagne zeigt die Raffinesse moderner Cyberbedrohungen, die Social Engineering, den Missbrauch legitimer Tools und die Verbreitung von Malware in einer einzigen Angriffskette kombinieren. Organisationen müssen einen mehrschichtigen Sicherheitsansatz verfolgen, um solche Bedrohungen effektiv zu erkennen und zu entschärfen. Wachsamkeit, Nutzeraufklärung und proaktive Überwachung sind entscheidend, um sich gegen diese sich weiterentwickelnden Taktiken zu verteidigen.

Teilen

TwitterLinkedIn